Что в имени тебе моем?
За последнюю неделю мы насчитали порядка 2 тысяч доменов, использующих в своем названии слово «bank». Если говорить о России, то в лидерах по количеству созвучных доменов как обычно банк, находящийся на первой строчке национального рейтинга. Вангуем, что некоторые из них уж точно будут задействованы в мошеннических схемах, настолько они недвусмысленны. Впрочем, пока они все благополучно припаркованы и ждут своего часа. На двух ресурсах, например, красуется столь милое каждому программисту словосочетание: «Hello World».

Куда интереснее дела обстоят за рубежом. В лидерах опять турецкий Halkbank, на него приходится более 50 доменов, что составляет примерно 3% от всех зарегистрированных доменов с частицей «bank». Общее же количество доменных имен, содержащих название этого банка, давно перевалило за несколько сотен.
Другой занятной тенденцией является массовая регистрация доменов bankbank(вставьте любое число).com. Пока сложно оценить варианты их возможного использования, но не сомневайтесь, время раскроет их тайну, а мы в свою очередь обязательно поделимся ей с вами!

Ну а пока поздравляем наших подписчиков с Днем космонавтики и желаем им по-настоящему космических выходных.
@In4security

Доверие или доверчивость?
Думаем, всем знакома рекомендация не запускать файлы, полученные из недостоверных источников, или не открывать письма, поступившие с незнакомых адресов. Хотим вас огорчить: злоумышленники давно об этом знают.

Поэтому для того, чтобы атаковать таких аккуратных  и внимательных пользователей, они сперва… компрометируют доверенные источники. Классический пример: вредоносные программы в Google Play. С сайтами производителей софта и «железа» все еще сложнее: только за последний месяц стало известно о нескольких громких случаях, когда файлы с обновлениями или дистрибутивы программ подменялись различного рода троянами.

Однако, доверенным источником может быть не только производитель софта, но и, скажем, какое-нибудь сетевое сообщество, в котором все доверяют друг другу. Несколько лет назад участники одной известной хакерской группы пытались провернуть целевую атаку на банки, разослав файл с трояном членам неформального клуба банковских безопасников.

Банковские безопасники быстро заподозрили неладное, но на то они и безопасники. А вот, скажем, родители школьников из британского Шропшира не сразу распознали угрозу, получив вчера фишинговые письма со взломанного почтового сервера школы.

Так что в следующий раз, когда вам пришлют файл или ссылку в очередном родительском чатике в WhatsApp, вспомните о том, что под видом расписания уроков вы вполне можете получить очередное «письмо счастья».

@In4security

GTA. Chicago Edition.
Интересный новый вектор кибератак – взлом каршеринговых автомобилей.

Не прошло и года с того момента, как первые машины с логотипом Car2Go появились на улицах Чикаго, а неизвестные хакеры уже взломали мобильное приложение, научив его открывать двери и заводить автомобили без какой бы то ни было авторизации.

В результате атаки было угнано порядка 100 принадлежащих сервису автомобилей Mercedes, причем некоторые из них были использованы для совершения других преступлений. Полиция сработала оперативно и по горячим следам задержала 12 человек.

Представители каршеринговой компании отрицают факт взлома приложения и говорят о том, что все случившееся есть ни что иное, как мошенничество. Впрочем, есть основания полагать, что они темнят, не зря же они заморозили все операции с сервисом в Чикаго? Да и в то, что 12 человек за день смогли угнать 100 автомобилей, тоже как-то верится с трудом.

Ну а в России пока предпочитают ломать не приложения, а сами автомобили. Так, например, за год из машин лишь одного московского каршерингового сервиса украли 146 аккумуляторов, 7 рулей, 2100 щеток, 14 передних сидений и 1 задний диван.
@In4security

Вчера в сети появился любопытный сайт – sbersecure.ru

Ресурс позиционирует себя как сайт службы безопасности ПАО «Сбербанк». Только вот домен зарегистрирован на частное лицо, а IP-адрес 104.18.54.19 принадлежит небезызвестной американской компании CloudFlare Inc.

Часть элементов страницы, в частности верхнее меню и футер, откровенно скопирована с настоящего сайта Сбербанка. Все ссылки в них ведут на настоящий сайт Сбербанка.

Первое, что привлекает внимание на сайте, это большая кнопка с надписью «Срочно получить помощь». Нажатие на нее отправляет нас на еще более интересную страницу https://sbersecure.ru/help.html. Попутно выполняется с десяток скриптов, некоторые из которых обращаются к https://ibbe.group-ib.ru. Скорее всего они тоже были бездумно скопированы со старой версии официального ресурса банка.

Страница, на которую попадает нажавший на кнопку пользователь, именуется «Сегрегация счетов». В центре страницы располагается форма ввода табельного номера сотрудника, чуть ниже – неактивная форма сброса логина и пароля сервиса «Сбербанк Онлайн». При этом маска ввода табельного номера не соответствует действительности, а слово «онлайн» в заголовке написано с маленькой буквы.

Попытки ввести произвольные номера приводят к появлению окна с надписью «Табельный номер сотрудника не верный».

Точная схема работы сайта пока не ясна, возможно его просто еще не успели полноценно запустить, но вот фишинговый характер ресурса налицо.

Мы проинформировали банк о возможной угрозе для его клиентов.
@In4security

Когда мошенники меряются бонусами…
Интересно наблюдать за тем, как одни фишинговые домены месяцами висят без признаков жизни, в то время как другие сразу же включаются в работу.

Вот, например, с начала года некий человек зарегистрировал уже полсотни доменных имен с различными вариантами на тему бонусов от Сбербанка. Но почему-то зарегистрированные домены типа sberbank-bonus3000.ru до сих пор не востребованы, а имена 2000-sberbank.ru, sberbank--2000.ru и 2000--sberbank.ru сразу же обзавелись фишинговыми сайтами, предлагающими 2000 рублей за прохождение фейкового опроса.

И гадай теперь, почему в этом сезоне в моде именно 2000 рублей?
@In4security

Ну и закономерный финал всех подобных опросов: введите номер карты, пришлите код подтверждения и распрощайтесь с деньгами.
@In4security

Абонент временно недоступен
В Америке вынесен первый приговор мошеннику, использовавшему схему с получением дубликатов SIM-карт мобильных операторов. 20-летний Джоэл Ортиц приговорен к 10-летнему заключению.

Удивительно, что это первый подобный случай в США, так как в России схема весьма популярна и существует уже много лет. Обычно злоумышленники получают дубликаты SIM-карт в салонах связи по поддельным документам для доступа к онлайн-банкингу жертв. В последние годы мобильные операторы даже стали на сутки ограничивать прием сообщений из банков после замены сим-карты.

Как видите, иногда и набившие оскомину российские схемы становятся настоящим открытием за океаном.
@In4security

Пример того, как вся статья может сводится к громкому заголовку.

Читаем: «Воронежский хакер осужден за взлом сайта курганского правительства» - звучит серьезно. Начинаем разбираться и выясняем, что взломан был всего лишь сайт Курганской областной универсальной научной библиотеки им. А.К. Югова, что, конечно, звучит уже не так круто. Да, если честно, и взломом это назвать сложно.

Ну что тут говорить, если автор не смог даже правильно написать номер статьи УК, указав вместо ч. 1 ст. 272 статью 172, вообще не имеющую отношения к компьютерным преступлениям. Ну да ладно, опечатка. Но автор называет статью нечасто используемой. Проверим? В 2018 году было зарегистрировано 733 подобных преступления… Если честно, дальше читать уже не хочется.

Не верьте даже, казалось бы, авторитетным источникам. Проверяйте информацию.
@In4security

Приложения для контроля и управления транспортными средствами становятся популярной целью кибератак.

Лишь за последние месяцы были взломаны Tesla, Jeep Cherokee, электросамокат Xiaomi, американский каршеринговый сервис и австралийские прокатные электросамокаты. И это далеко не исчерпывающий список.

На этой неделе хакер с ником L&M сообщил о взломе почти 30 тысяч аккаунтов в двух популярных сервисах мониторинга местонахождения корпоративных автомобилей – iTrack и ProTrack. Хакер обнаружил, что мобильные приложения сервисов по умолчанию используют пароль «123456», после чего перебрал учетные записи через API и выявил те, в которых дефолтный пароль не был изменен.

Помимо доступа к местоположению транспорта и персональным данным клиентов хакер получил возможность дистанционно глушить двигатели автомобилей.

Как это нередко бывает, компания iTrack не ответила на запрос о предоставлении комментариев, а представители ProTrack переложили ответственность на клиентов, не поменявших дефолтные пароли.
@In4security

Банк растворился, остался лишь дым.
Что нам принесла последняя полноценная рабочая неделя перед майскими праздниками? Например, новые домены с частицей bank в количестве аж 2 тысяч штук.

Среди них попадаются достаточно любопытные экземпляры. Возьмем хотя бы socekonom-bank.ru. На сайте предлагают оформить моментальный онлайн-кредит на банковскую карту, получить виртуальную кредитную карту с лимитом до 200 тысяч рублей и даже оставить заявку на ипотеку. Так в чем же подвох? Да в том, что лицензия у «Соцэкономбанка» была отозвана еще в 2010 году!

На сайте нет никаких упоминаний реального юридического лица, в реестре микрофинансовых организаций никакого «Соцэкономбанка» тоже не значится. Адрес принадлежит бизнес-центру, в котором ютятся десятки разных фирм, в качестве контактного телефона указан номер кальянной и «вейп-шопа» у метро Университет. В общем, не думаем, что стоит брать кредит у этих ребят.

Также стоит обратить внимание на домены:
aspektbank.ru
ivanovobank.ru
troikadbank.ru

Их объединяет два момента: все эти домены зарегистрированы 20 апреля; и у всех этих банков в апреле же была отозвана лицензия. Никакого криминала на сайтах нет, но кто знает, может быть в будущем и с их страниц будут предлагать быстрые кредиты.

Ну и на закуску домен alfabankru.ru. При попытке зайти на сайт нас перебрасывает на IP-адрес 212.86.101.64, на котором висит страница логина в админку столь любимой спамерами софтины Interspire email marketer. Остается лишь пожелать нашим подписчикам не попасть в список рассылки тех ребят, которым принадлежит этот хост.
@In4security

Пересказ хайповой новости за 10 секунд.
На днях появилась новость о том, что хакерская группировка Digital Revolution взломала почту компании 0day technologies. Если вы еще не читали об этом, можете и не читать, ничего не потеряете. И вот почему.

Конечно сам факт того, что хакеры взломали почту компании, которая специализируется на информационной безопасности, - это печально. Но посмотрим, что такого сенсационного в этой переписке.

Да ничего! Все опубликованные документы сводятся к тому, что 0day technologies разработала или разрабатывает решения для DPI, СОРМ и пакета Яровой, которые можно использовать в том числе для блокировки Telegram, и очень хочет поучаствовать в разделе пирога, но пока не получается.

Вот и все. Мы только что сэкономили вам пару минут времени.
@In4security

Ваш багаж зашифрован!
Обычно жертвами троянов-шифровальщиков становятся обычные люди. Но иногда вредоносные программы нарушают работу целых предприятий. Самые яркие примеры: WannaCry, Petya или not Petya.  Тогда от вирусных эпидемий пострадали десятки организаций по всему миру.

Но и сейчас программы-вымогатели способны задать жару.  Например, из-за очередного трояна всю прошлую неделю в аэропорту Кливленда не работали табло прилета и вылета рейсов, а также выдачи багажа. Все это вызвало большую неразбериху и уж точно не прибавило комфорта пассажирам.

К расследованию инцидента привлекли ФБР, представители аэропорта же делают покер фейс и не отвечают на вопросы о том, почему на восстановление работоспособности информационной системы потребовалась целая неделя.

В общем, только поездом! Как Ким Чен Ын!
@In4security

Мошенники всегда не прочь нажиться на чужом горе и сострадании. Вот и сейчас, спустя всего сутки после авиакатастрофы в аэропорту Шереметьево, в социальных сетях стали появляться сообщения и группы с просьбой перевести деньги для помощи пострадавшим и их родственникам.

Перед вами скриншот одного из таких сообщений. Номер карты принадлежит компании «Мегафон» и привязан к телефонному номеру, который наверняка оформлен на подставное лицо. Благотворительной организации с таким названием и реквизитами не существует, а телефон, указанный в конце послания, и вовсе является номером горячей линии МЧС.

Мы проинформировали об инциденте компанию «Мегафон» и надеемся, что счет мошенников будет оперативно заблокирован. Если вы столкнетесь с подобными рассылками, вы можете последовать нашему примеру и сообщить о них администрации соцсетей, а также банку, чья карта используется мошенниками.
@In4security

Мы периодически сталкиваемся с тем, что в контекстной рекламе от Яндекса или Гугла проскакивают ссылки на фишинговые сайты. Но Facebook превзошел всех. На этой неделе в нем появилась реклама сайта, продающего взломанные аккаунты PayPal.

За 30$ можно купить аккаунт с балансом 90-130 долларов, за 70 на счете будет уже 330-400 долларов, а за 470 предлагаются учетки с балансом от 2000 долларов США. Все продаваемые аккаунты не имеют двухфакторной аутентификации.

Понятное дело, что за этим объявлением могут скрываться банальные мошенники, но это ничуть не умаляет того факта, что Facebook заботливо вставляет подобную рекламу в нашу с вами ленту.
@In4security

Не так давно мы писали (https://t.me/in4security/187) о сайте, выдающем себя за службу безопасности Сбербанка.

Вот вам еще один: sber-guard.com

Теперь мошенники предлагают «защитить средства», а по факту, как и в прошлый раз, получают все данные вашей карты и попутно пытаются списать деньги со счета. При этом форма ввода данных судя по всему сделана на основе реальной формы с сайта Сбербанка.

В этот раз домен зарегистрирован через компанию Porkbun, а хостинг скрывается за все той же CloudFlare.

Ну что ж, отправим информацию в Сбербанк и посмотрим, сколько времени он проживет.
@In4security

Сколько времени нужно на установку патча?
Ровно два года назад по миру прокатилась эпидемия червя-шифровальщика WannaCry. Пик ее пришелся на 12-15 мая, когда было заражено порядка 300 тысяч компьютеров.

Патч, закрывающий уязвимость, был выпущен за 2 месяца до эпидемии, но количество непропатченных систем было столь велико, что распространение WannaCry было поистине лавинообразным.

Казалось бы, по истечении двух лет, да еще с учетом той шумихи, что наделала эпидемия, число уязвимых компьютеров должно было бы стремиться к 0. Но нет. По состоянию на 12 мая поисковик Shodan находит примерно 1.7 миллиона уязвимых хостов. И речь идет только о системах, до которых смог дотянуться Shodan. О том, какое количество уязвимых машин находится оффлайн или работает в составе обособленных сетей или за файерволом, можно только гадать.

Самое забавное, что для того, чтобы устранить уязвимость, нужно всего лишь экзешник запустить (ну или кнопку «Ок» в Центре обновлений нажать). Это вам не KDE2 под FreeBSD пропатчить!
@In4security

Троянский конь… с крыльями
Сегодня все только и говорят, что об уязвимости WhatsApp. Но интересна не столько сама уязвимость (хотя, конечно, приятного в ней было мало), а то, как она эксплуатировалась на практике.

На данный момент известно лишь то, что уязвимость CVE-2019-3568 могла использоваться для установки шпионского трояна Pegasus (не путать с одноименным банковским трояном). Основным источником информации по данному вопросу является сегодняшняя статья в Financial Times. Журналисты провели неплохое расследование, но Pegasus овеян такой завесой тайны, что проверить многие изложенные факты весьма затруднительно.

Pegasus – шпионский троян, разработанный израильской компанией NSO для продажи исключительно правительствам разных стран. Утверждается, что основной его целью являлись борьба с терроризмом и обеспечение безопасности государства. Троян был доступен в двух версиях: для iOS и для Android. Версия для айфонов эксплуатировала аж 3 критических уязвимости, которые, впрочем, были оперативно устранены компанией Apple. Android-версия использовала популярный механизм повышения прав Framaroot, который тоже уже давно не актуален.

И вот тут начинается самое интересное. NSO уверяет инвесторов, что располагает сведениями о новых уязвимостях в iOS и продолжает эксплуатировать их в новой версии своего софта. Apple молчит.

Понятно, что потенциальным инвесторам NSO может говорить что угодно, так что нам остается ждать сообщений о новых атаках с использованием мистического трояна, надеясь, что получится добыть его образец для исследования.
@In4security

Песен не будет
В век цифровых технологий жить становится все интереснее: то порно на рекламном билборде покажут, то, трансляцию Евровидения заменят сценой ракетной атаки.

Ничего смешного в этом конечно же нет, но факт остается фактом: трансляция полуфинала Евровидения на популярном израильском стриминговом сервисе Kan была прервана, и вместо нее зрители увидели видео взрывов под аккомпанемент угрожающей музыки.

Представители сервиса винят во всем сторонников Хамас, однако ответственность за кибератаку на себя так никто и не взял.

Подобного рода атаки могут стать трендом в ближайшие годы, ведь трансляции мероприятий типа Евровидения привлекают внимание огромного числа людей. По данным Европейского вещательного союза в прошлом году полуфинал и финал конкурса смотрело 186 миллионов человек, а это, согласитесь, более чем солидная аудитория.
@In4security

Прошедшая неделя выдалась не очень продуктивной на фишинговые сайты, судя по всему, люди еще отходят после майских праздников. Но есть и интересные примеры.

Например, доменные имена bank-yunikor.ru и bank-pk.ru. На картинке выше вы можете видеть скриншоты страниц сайтов этих банков. Как говорится, найдите 10 отличий. Впрочем, интересно скорее то, что один из этих банков лишился лицензии еще в 2014, а второй – в 2017 году. Что не мешает этим сайтам использовать реквизиты давно почивших кредитных организаций и даже иметь личный кабинет, в котором можно попробовать залогиниться.

Второй любопытный пример – это сайт sberbank-service.online (уже недоступен), который был создан спустя неделю после запуска Сбербанком сервиса «Безопасная сделка и выдает себя за официальную страницу этой услуги. Как говорится, был бы сервис, а мошенники найдутся.
Сайт имел действительный SSL-сертификат, что все чаще встречается в наши дни. Так что не верьте никому и проверяйте информацию.

Желаем вам хороших выходных!
@In4security