in2security

Время веселых историй. Мошенники, активно создающие фишинговые сайты под известный маркетплейс, не заморачиваясь подняли прямо на своей инфраструктуре сайт, предлагающий вернуть деньги всем людям, которые пострадали от действий мошенников.

Для этого они откопали скелет мамонта в виде шаблона фишингового сайта по возврату средств, украденного в 2020 году у других мошенников, которые запилили его году эдак в 2019, оставив при этом информацию о том, что «они работают уже целых 8 лет, а запустили проект в 2011».

Древний шаблон таит в себе и иные артефакты. Так, например, видеочат с оператором предлагается вести с использованием Adobe Flash плагина, который остался в пыльных закоулках истории уже много лет назад. А Россия в русскоязычном тексте написана как «Россiя». Вот прям сразу и не догадаешься, в какой стране находятся мошенники.

Вывод денег осуществляется на карты дропов через нелегальную платежку, обслуживающую скам-проекты и онлайн-казино. При этом сама схема неотрывно связана с телефонными мошенниками. Жертва вводит на сайте свой номер телефона для поиска начислений, оплачивает «комиссию», а после её ждет увлекательная телефонная беседа с сотрудником колл-центра. Но это уже совсем другая история.

Казалось бы, криворукие мошенники со старым кривым сайтом… кому это интересно? Но все не так просто, и данная история оставляет грустный осадок: все эти артефакты и ошибки на сайте не исправляются по одной причине – схема прекрасно работает и так. Никто не замечает эти ошибки.

Именно поэтому и следует развивать финансовую и компьютерную грамотность и информировать о новых или старых хорошо работающих уловках. Помните и расскажите своим близким: НИ ОДНА ОРГАНИЗАЦИЯ НЕ ВЕРНЕТ ВАМ ДЕНЬГИ, КОТОРЫЕ ПОХИТИЛИ НЕУСТАНОВЛЕННЫЕ МОШЕННИКИ.

Верим?

Сегодня прямо день юмора на канале. Какой подарок выбрали бы вы? Я бы отказался от участия в таком конкурсе.

Но самое интересное – это то, куда ведут ссылки. Нажав на кнопку, вы попадете на сайт kindsaracen.com, где в зависимости от вашего выбора по сложной ссылке вам откроется та или иная страница, которая будет выдавать себя за какой-то ресурс.

Так, Екатерина Андреева расскажет, как восстановить зрение, а если вы выберете в качестве подарка алкогольную зависимость, то вам откроется фейковая страница «Соловьев LIVE», которая поведает о том, как доктор Мясников помог Григорию Лепсу.

Рекомендую обратить внимание на примеры «До» и «После». На последнем фото можно видеть, как после приема препарата «Трезвин» помятый Варламов возвращается в Россию и превращается в типичного обитателя Патриков, открывшего свой бизнес и зарабатывающего миллионы, работая всего полчаса в день.

Какой только трэш не найдешь в процессе мониторинга фишинга. Всем отличной недели и хорошего настроения. Да прибудет с вами Крыша!

Польша была одной из первых стран, в сторону которых произошел экспорт мошеннических схем с инвестплатформами и маркетплейсами. Впервые мы такое заметили года 4 назад. Но тогда все было цивильно и на польском языке. Где-то даже есть коллекция сохраненных скриншотов.

И вот теперь пошла волна сайтов на русском языке, которые предлагают присоединиться к платформе микроинвестиций для поддержки Европы. Похоже, что акцент мошенников смещается в сторону русскоязычных иммигрантов.

Впрочем, по итогу вам позвонит сотрудник того же колл-центра, что обрабатывает российских бабушек и дедушек.

Неожиданные открытия!

Будьте аккуратнее с 7z-архивами. Уязвимость CVE-2024-11477 - RCE в 7z-архивах позволяет захватить ваш комп путем удаленного исполнения вредоносного кода.

У 7-ZIP уже готов патч, но установить его необходимо вручную. Начиная с версии 24.07 уязвимость устранена, последняя актуальная версия – 24.8.

Чтение комментариев в коде фишинговых китов - одно из любимых занятий. Когда-нибудь опубликую дайджест самых смешных находок.

Когда оформил предзаказ на Тесла бота на левом сайте...

Автор картины - Вася Ложкин.

Согласно заявлениям Илона Маска, Tesla Bot поступит в продажу в конце 2025 года, то есть через год. Но в рунете уже появляются сайты, предлагающие оформить заказ на человекоподобного робота.

Естественно, никаких данных владельцев сайта вы не найдете. Единственная зацепка – телефон, но, если верить Яндексу, он принадлежит установщикам систем видеонаблюдения из Москвы.

К слову, владельцу данного сайта действительно принадлежат домены, связанные с видеонаблюдением, например https://roscamera.ru/. Только вот этот сайт порождает еще больше вопросов: ни слова об организации, фиктивная политика конфиденциальности и обработки персональных данных. Возникают резонные сомнения, что компании, которые вы можете видеть на скриншоте, доверили установку камер такому ноунейму.

А еще ему принадлежит целый букет сайтов по продаже квартир в элитных ЖК, только вот эти сайты не имеют никакого отношения к девелоперским компаниям. Такой вот разноплановый человек.

К сожалению, современная практика такова, что бороться с подобными ресурсами крайне сложно (хотя и возможно).

Раньше для того, чтобы попробовать взломать мой Telegram мне присылали ссылки на голосование за каких-то знакомых людей или хотя бы творчество их детей. А тут меня без моего ведома добавляют в группу, в которой просят проголосовать за некую Дарину, которую я знать не знаю. Пришлось гуглить. Да, есть такая певица, но я точно не являюсь ее целевой аудиторией.

Ну да ладно, схема хоть и не новая, но все равно интересная. Самое прикольное в ней то, что в чате, в который добавляют жертв, сидят боты, которые радостно пишут о том, что они поддержали Дариночку. Мол, ты следующий, давай, голосуй!

В чате действует жесткая модерация, любые "неправильные" сообщения мгновенно трутся, а их авторы нещадно выгоняются из сообщества любителей Дарины.

Ну а далее все стандартно: авторизуетесь через Telegram и вот вы уже не хозяин своей учетной записи. Данная схема максимально автоматизирована, фишинговые сайты связаны со специализированными платформами, позволяющими управлять фишинговой кампанией, и бизнес этот весьма выгоден. Вообще в последние 2 года этот сценарий фишинга приобрел просто невероятные масштабы.

В данном конкретном случае использовались 2 фишинговых сайта: stars-fun[.]ru и progress-stars[.]ru, которые уже отправлены на блокировку. В этот раз Дарина останется без голоса.

Телефонные мошенники стали представляться сотрудниками Почты России

Суть схемы проста. Вам поступает звонок якобы от сотрудника Почты России, в котором говорится о том, что на ваше имя поступило заказное письмо, но адрес указан неверно, поэтому оно томится в сортировочном центре. В качестве отправителя письма указана Налоговая служба. Естественно, письмо из налоговой должно взбудоражить потенциальную жертву, поэтому, когда для уточнения адреса и актуализации данных потребуется продиктовать код из СМС, человек с радостью сообщит его. И потеряет доступ в свой аккаунт на портале Госуслуг со вполне прогнозируемыми последствиями.

Меня постоянно спрашивают: что делать, если вам позвонили мошенники от имени какой-либо организации. Ответ всегда один: абонент на той стороне провода – просто голос из трубки. Не доверяйте входящим звонкам, не сообщайте никакую конфиденциальную информацию, и уж тем более пароли и коды из СМС. Хотите пообщаться с почтой, банком, госуслугами, МВД, ФСБ, ФНС и прочими организациями, обратитесь в них самостоятельно. А в ответ на сообщение о заказном письме просто скажите: «Спасибо, прощайте...»

Один из популярных в узких кругах OSINT-каналов, запустил сегодня в 10.38 любопытное соревнование.

На канале был выложен SQL файл, содержащий ссылку на Yandex-диск с 404 архивами ранее не опубликованных баз, полученных методом web-root. Согласно описанию, имя SQL-файла входило в ТОП 200 вариантов брута. Через 7 дней ссылку обещают сделать публичной.

Но зачем ждать 7 дней, если можно забрутить за 20 минут! Как итог, статистика по утечкам за год пополнится 404 новыми инцидентами. Общий объем архивов имеет размер 3 гигабайта. В архивах представлены самые разные сайты, в основном относящиеся к малому бизнесу.

Неважно что у тебя: день рождения или именины, всегда найдется какой-нибудь банк, который тебя поздравит. Вечная классика скама на канале In2security на примере двух свежих сайтов.

Кстати, а вы знаете, когда у вас именины?

В последние 2 года взлом Telegram – это прямо один из ключевых трендов. Каких только легенд, почему жертве следует пройти авторизацию, не было за последнее время. Если честно, я даже устал об этом писать. Ну неинтересно.

Но тут забавный пример. Вроде и схема привычная: «кто-то получил доступ к вашему аккаунту», но сайт gosuslugichildrens[.]online (на слове childrens моя учительница английского бы выпила валерьянки) сверстан так, что в некоторых мобильных браузерах выглядит прям как страница с оповещением на весь экран. К тому же код HTML страницы содержит довольно подробные комментарии, что позволяет говорить о том, что это не единичная история, а готовый фишинговый кит, который продается.

Вполне в духе нашего времени в процессе взлома аккаунта задействуется 3 различных сайта: первый выдает начальное предупреждение, второй (tgme-system[.]online/verif) сообщает о том, кто якобы пытался войти в аккаунт. В моем случае очень иронично то, что указан телефон Samsung Galaxy Note10+, с которого я действительно могу заходить в свою учетку, но не из Киева, конечно. Кстати, Киев тоже выбран неслучайно, вряд ли российский пользователь в нынешних условиях залогинится в свою учетную запись из столицы Украины, а если не он, то… украинские хакеры! Нагоняют жути, в общем.

Код этой страницы тоже прекрасно прокомментирован в расчете на широкую аудиторию. Ну а дальше – еще один редирект, теперь на tgme-system[.]pro/verif-***********, на котором уже висит сама фейковая форма входа. Ну а дальше все стандартно.

Берегите себя и свои учетки в Telegram. В последнее время наметился тренд, когда злоумышленники не просто пытаются одолжить деньги у друзей жертвы, но и выкачивают переписки, ищут информацию интимного или компрометирующего характера и либо шантажируют человека, либо продают ее на соответствующих площадках.

Ленивый фишинг. А почему бы не заменить логотип Госуслуг на существующем уже несколько лет шаблоне на Росбанк? Увеличим сумму с 3 до 6 тысяч за опрос и сработает!..

Ну сработает же?

P.S. Знала ли эта девушка с копилкой с фотостока, что станет маскотом одной из самых масштабных фишинговых атак?

Тематика Мелстроя не дает покоя мошенникам. Снова фиксируем эпидемию сайтов с коробочками, действующими от имени популярного трэш-стримера. Только теперь все чаще используются домены третьего и четвертого уровней в сочетании с уникальными идентификаторами.

Живой (пока) пример: https://mjkq[.]asikpoz[.]shop/mell/?clickID=ewJ7PGRCMgL55sW/

Как вы понимаете, искать такие ресурсы весьма непросто, но тем не менее мы научились.

Удивительно, что схема с коробочками работает уже более 5 лет практически без изменений. Меняется лишь целевая аудитория, на которую ориентированы такие сайты. Поделитесь в комментариях идеями, каков портрет типичного поклонника стримов Мелстроя, на которых рассчитывают мошенники!

Сложно перечислить все бренды, которые использовали украинские телефонные мошенники, действующие от имени несуществующих инвестиционных платформ. Компании нефтегазовой отрасли, банки, Илон Маск с Теслой и Space-X… Была и экспансия подобных сайтов в Европу и в Среднюю Азию, о чем мы неоднократно писали. И, казалось бы, чем можно удивить? А вот, ловите: инвестиции с Google.

Все тот же шаблон, меняется лишь текст и фоновая картинка или видео, все та же суть: отправьте нам свои контактные данные и с вами свяжется наш болванчик, который погрузит вас в мир инвестиций. Удивительно, насколько стабильно рабочей является данная схема. При неизменной сути она существует уже более 5 лет, обрастая всевозможными форками.

Впрочем, если попросить мошенников назвать ИНН и перечислить виды деятельности организации, они как правило быстро сливаются или начинают говорить, что ИНН – это конфиденциальная информация. Интересно, какой ИНН у компании Google Finance?

Очередной фишинговый сайт с биороботом, который за вас зайдет в ваш личный кабинет, а вы пришлете ему код из СМС. Вроде бы скукота, но не совсем.

Во-первых, вредоносный контент доступен только по конкретному URL, если вы введете в браузере имя домена, то получите просто заглушку от браузер (популярная в последние годы история).

Во-вторых, даже в URL-е название банка искажено, причем так, что это не тянет на тайпсквоттинг.

В-третьих, само имя домена строится по схеме, которую используют злоумышленники, промышляющие под видом госуслуг (расширяют горизонты!).

В-четвертых, налицо бескомпромиссность: вне зависимости от того, выберете ли вы прохождение опроса или отказ от бонуса, вам откроется опрос...

Ну а в остальном вполне обычный скучный фишинговый сайт для кражи доступа в личный кабинет банка. Из примечательного разве что отсутствие возможности вводить что-либо кроме букв в поле ответа на вопросы. Ну и правильно, долой эту мерзкую пунктуацию. Код для авторизации поступит в течение 5 минут. Это время нужно для того, чтобы биоробот вышел из анабиоза и успел залогиниться в личном кабинете жертвы.

Национальный вопрос – это всегда острая тема. И именно на этой теме решили сыгрыть злоумышленники, создавшие фишинговый сайт под Федеральное агентство по делам национальностей на домене fadn-social[.]ru.

Тут все серьезно: посетителю надо будет дать развернутые ответы на 13 вопросов. Причем за прохождение не предлагают даже денег – все держится на идее. Но идея, как известно, дороже денег, поэтому желающие пройти опрос точно найдутся. Только потратив 10-15 минут своего времени и изложив свои доводы относительно будущего страны, а также ее многонационального народа, пользователь увидит, что из его системы поступает слишком много запросов и для продолжения требуется пройти защиту от ботов через популярную соцсеть. Так как потраченного времени, конечно же жалко, человек нажмет на кнопку и попадет на открывшийся во всплывающем окне классический фишинговый сайт, предназначенный для кражи аккаунтов. Что характерно, данный сайт располагается уже по другому адресу: vk.auth-s3[.]ru – популярная история в последние годы.

Ну а мы считаем, что национальный вопрос должны решать профессионалы в лице того самого Агентства, поэтому без лишних сожалений отправляем оба ресурса на блокировку!

Channel photo updated

Телефонные мошенники, которые представляются сотрудниками ЦБ или МВД, нередко используют вспомогательные сайты, на которых можно убедиться в том, что вам звонит настоящий представитель органов гос. власти, и проверить номер его удостоверения.

В последнее время мы отмечаем тенденцию, заключающуюся в том, что в целях маскировки фишинговых ресурсов все чаще применяются домены 3 уровня (эти люди реально думают, что это защищает от обнаружения?).

Вот, например, свежие фейковые сайты под ЦБ:
https://cbr.b-call.ru/
https://cbr.b-call24.ru/

Прямо как настоящие, только вместо пункта «Проверить участника финансового рынка» вставлен пункт: «Проверить информацию о сотруднике».

Ну а дальше все стандартно: введите Bank ID. Если ID совпадает с тем, что продиктует мошенник, то сайт выдаст подтверждение: «Этому сотруднику можно верить, переводите деньги на безопасный счет!», если же ввести абстрактные цифры, то скажет, что такого сайта нет.

Интересный момент. В футере сайта зачем-то указано, что он создан Студией Артемия Лебедева, хотя на настоящем сайте ЦБ РФ указано, что дизайн создан AIC.

Оба ресурса отправлены на блокировку, а заодно и в FinCERT Банка России. Как говорит Артемий: «Ну умер, и умер…»