Когда оформил предзаказ на Тесла бота на левом сайте...
Автор картины - Вася Ложкин.
Автор картины - Вася Ложкин.
in2security
@intosecurity
Приветствуем вас на канале In2security! Наш канал – это погружение в безопасность, здесь мы рассказываем о новом и актуальном фишинге, анализируем громкие утечки, говорим про OSINT. Комментарии для СМИ и прочие вопросы: @infosecurityevil
in2security (Russian)
Добро пожаловать на канал In2security! Если вы интересуетесь безопасностью и хотите быть в курсе последних событий в мире кибербезопасности, то этот канал для вас. Мы рассказываем о новых методах фишинга, проводим анализ звучных случаев утечек данных и обсуждаем OSINT - открытое источниковое разведывание. Наша цель - помочь нашим подписчикам оставаться в безопасности в онлайн-мире, предостеречь их от возможных угроз и дать актуальные рекомендации по обеспечению кибербезопасности. Если у вас есть вопросы или желание связаться с нами для сотрудничества, не стесняйтесь обращаться к нам по адресу: @infosecurityevil
in2security
22 Nov, 10:24
Согласно заявлениям Илона Маска, Tesla Bot поступит в продажу в конце 2025 года, то есть через год. Но в рунете уже появляются сайты, предлагающие оформить заказ на человекоподобного робота.
Естественно, никаких данных владельцев сайта вы не найдете. Единственная зацепка – телефон, но, если верить Яндексу, он принадлежит установщикам систем видеонаблюдения из Москвы.
К слову, владельцу данного сайта действительно принадлежат домены, связанные с видеонаблюдением, например https://roscamera.ru/. Только вот этот сайт порождает еще больше вопросов: ни слова об организации, фиктивная политика конфиденциальности и обработки персональных данных. Возникают резонные сомнения, что компании, которые вы можете видеть на скриншоте, доверили установку камер такому ноунейму.
А еще ему принадлежит целый букет сайтов по продаже квартир в элитных ЖК, только вот эти сайты не имеют никакого отношения к девелоперским компаниям. Такой вот разноплановый человек.
К сожалению, современная практика такова, что бороться с подобными ресурсами крайне сложно (хотя и возможно).
Естественно, никаких данных владельцев сайта вы не найдете. Единственная зацепка – телефон, но, если верить Яндексу, он принадлежит установщикам систем видеонаблюдения из Москвы.
К слову, владельцу данного сайта действительно принадлежат домены, связанные с видеонаблюдением, например https://roscamera.ru/. Только вот этот сайт порождает еще больше вопросов: ни слова об организации, фиктивная политика конфиденциальности и обработки персональных данных. Возникают резонные сомнения, что компании, которые вы можете видеть на скриншоте, доверили установку камер такому ноунейму.
А еще ему принадлежит целый букет сайтов по продаже квартир в элитных ЖК, только вот эти сайты не имеют никакого отношения к девелоперским компаниям. Такой вот разноплановый человек.
К сожалению, современная практика такова, что бороться с подобными ресурсами крайне сложно (хотя и возможно).
in2security
11 Nov, 16:02
Раньше для того, чтобы попробовать взломать мой Telegram мне присылали ссылки на голосование за каких-то знакомых людей или хотя бы творчество их детей. А тут меня без моего ведома добавляют в группу, в которой просят проголосовать за некую Дарину, которую я знать не знаю. Пришлось гуглить. Да, есть такая певица, но я точно не являюсь ее целевой аудиторией.
Ну да ладно, схема хоть и не новая, но все равно интересная. Самое прикольное в ней то, что в чате, в который добавляют жертв, сидят боты, которые радостно пишут о том, что они поддержали Дариночку. Мол, ты следующий, давай, голосуй!
В чате действует жесткая модерация, любые "неправильные" сообщения мгновенно трутся, а их авторы нещадно выгоняются из сообщества любителей Дарины.
Ну а далее все стандартно: авторизуетесь через Telegram и вот вы уже не хозяин своей учетной записи. Данная схема максимально автоматизирована, фишинговые сайты связаны со специализированными платформами, позволяющими управлять фишинговой кампанией, и бизнес этот весьма выгоден. Вообще в последние 2 года этот сценарий фишинга приобрел просто невероятные масштабы.
В данном конкретном случае использовались 2 фишинговых сайта: stars-fun[.]ru и progress-stars[.]ru, которые уже отправлены на блокировку. В этот раз Дарина останется без голоса.
Ну да ладно, схема хоть и не новая, но все равно интересная. Самое прикольное в ней то, что в чате, в который добавляют жертв, сидят боты, которые радостно пишут о том, что они поддержали Дариночку. Мол, ты следующий, давай, голосуй!
В чате действует жесткая модерация, любые "неправильные" сообщения мгновенно трутся, а их авторы нещадно выгоняются из сообщества любителей Дарины.
Ну а далее все стандартно: авторизуетесь через Telegram и вот вы уже не хозяин своей учетной записи. Данная схема максимально автоматизирована, фишинговые сайты связаны со специализированными платформами, позволяющими управлять фишинговой кампанией, и бизнес этот весьма выгоден. Вообще в последние 2 года этот сценарий фишинга приобрел просто невероятные масштабы.
В данном конкретном случае использовались 2 фишинговых сайта: stars-fun[.]ru и progress-stars[.]ru, которые уже отправлены на блокировку. В этот раз Дарина останется без голоса.
in2security
29 Oct, 08:30
Телефонные мошенники стали представляться сотрудниками Почты России
Суть схемы проста. Вам поступает звонок якобы от сотрудника Почты России, в котором говорится о том, что на ваше имя поступило заказное письмо, но адрес указан неверно, поэтому оно томится в сортировочном центре. В качестве отправителя письма указана Налоговая служба. Естественно, письмо из налоговой должно взбудоражить потенциальную жертву, поэтому, когда для уточнения адреса и актуализации данных потребуется продиктовать код из СМС, человек с радостью сообщит его. И потеряет доступ в свой аккаунт на портале Госуслуг со вполне прогнозируемыми последствиями.
Меня постоянно спрашивают: что делать, если вам позвонили мошенники от имени какой-либо организации. Ответ всегда один: абонент на той стороне провода – просто голос из трубки. Не доверяйте входящим звонкам, не сообщайте никакую конфиденциальную информацию, и уж тем более пароли и коды из СМС. Хотите пообщаться с почтой, банком, госуслугами, МВД, ФСБ, ФНС и прочими организациями, обратитесь в них самостоятельно. А в ответ на сообщение о заказном письме просто скажите: «Спасибо, прощайте...»
Суть схемы проста. Вам поступает звонок якобы от сотрудника Почты России, в котором говорится о том, что на ваше имя поступило заказное письмо, но адрес указан неверно, поэтому оно томится в сортировочном центре. В качестве отправителя письма указана Налоговая служба. Естественно, письмо из налоговой должно взбудоражить потенциальную жертву, поэтому, когда для уточнения адреса и актуализации данных потребуется продиктовать код из СМС, человек с радостью сообщит его. И потеряет доступ в свой аккаунт на портале Госуслуг со вполне прогнозируемыми последствиями.
Меня постоянно спрашивают: что делать, если вам позвонили мошенники от имени какой-либо организации. Ответ всегда один: абонент на той стороне провода – просто голос из трубки. Не доверяйте входящим звонкам, не сообщайте никакую конфиденциальную информацию, и уж тем более пароли и коды из СМС. Хотите пообщаться с почтой, банком, госуслугами, МВД, ФСБ, ФНС и прочими организациями, обратитесь в них самостоятельно. А в ответ на сообщение о заказном письме просто скажите: «Спасибо, прощайте...»
in2security
28 Oct, 09:03
Один из популярных в узких кругах OSINT-каналов, запустил сегодня в 10.38 любопытное соревнование.
На канале был выложен SQL файл, содержащий ссылку на Yandex-диск с 404 архивами ранее не опубликованных баз, полученных методом web-root. Согласно описанию, имя SQL-файла входило в ТОП 200 вариантов брута. Через 7 дней ссылку обещают сделать публичной.
Но зачем ждать 7 дней, если можно забрутить за 20 минут! Как итог, статистика по утечкам за год пополнится 404 новыми инцидентами. Общий объем архивов имеет размер 3 гигабайта. В архивах представлены самые разные сайты, в основном относящиеся к малому бизнесу.
На канале был выложен SQL файл, содержащий ссылку на Yandex-диск с 404 архивами ранее не опубликованных баз, полученных методом web-root. Согласно описанию, имя SQL-файла входило в ТОП 200 вариантов брута. Через 7 дней ссылку обещают сделать публичной.
Но зачем ждать 7 дней, если можно забрутить за 20 минут! Как итог, статистика по утечкам за год пополнится 404 новыми инцидентами. Общий объем архивов имеет размер 3 гигабайта. В архивах представлены самые разные сайты, в основном относящиеся к малому бизнесу.
in2security
25 Oct, 10:03
in2security
22 Oct, 13:07
В последние 2 года взлом Telegram – это прямо один из ключевых трендов. Каких только легенд, почему жертве следует пройти авторизацию, не было за последнее время. Если честно, я даже устал об этом писать. Ну неинтересно.
Но тут забавный пример. Вроде и схема привычная: «кто-то получил доступ к вашему аккаунту», но сайт gosuslugichildrens[.]online (на слове childrens моя учительница английского бы выпила валерьянки) сверстан так, что в некоторых мобильных браузерах выглядит прям как страница с оповещением на весь экран. К тому же код HTML страницы содержит довольно подробные комментарии, что позволяет говорить о том, что это не единичная история, а готовый фишинговый кит, который продается.
Вполне в духе нашего времени в процессе взлома аккаунта задействуется 3 различных сайта: первый выдает начальное предупреждение, второй (tgme-system[.]online/verif) сообщает о том, кто якобы пытался войти в аккаунт. В моем случае очень иронично то, что указан телефон Samsung Galaxy Note10+, с которого я действительно могу заходить в свою учетку, но не из Киева, конечно. Кстати, Киев тоже выбран неслучайно, вряд ли российский пользователь в нынешних условиях залогинится в свою учетную запись из столицы Украины, а если не он, то… украинские хакеры! Нагоняют жути, в общем.
Код этой страницы тоже прекрасно прокомментирован в расчете на широкую аудиторию. Ну а дальше – еще один редирект, теперь на tgme-system[.]pro/verif-***********, на котором уже висит сама фейковая форма входа. Ну а дальше все стандартно.
Берегите себя и свои учетки в Telegram. В последнее время наметился тренд, когда злоумышленники не просто пытаются одолжить деньги у друзей жертвы, но и выкачивают переписки, ищут информацию интимного или компрометирующего характера и либо шантажируют человека, либо продают ее на соответствующих площадках.
Но тут забавный пример. Вроде и схема привычная: «кто-то получил доступ к вашему аккаунту», но сайт gosuslugichildrens[.]online (на слове childrens моя учительница английского бы выпила валерьянки) сверстан так, что в некоторых мобильных браузерах выглядит прям как страница с оповещением на весь экран. К тому же код HTML страницы содержит довольно подробные комментарии, что позволяет говорить о том, что это не единичная история, а готовый фишинговый кит, который продается.
Вполне в духе нашего времени в процессе взлома аккаунта задействуется 3 различных сайта: первый выдает начальное предупреждение, второй (tgme-system[.]online/verif) сообщает о том, кто якобы пытался войти в аккаунт. В моем случае очень иронично то, что указан телефон Samsung Galaxy Note10+, с которого я действительно могу заходить в свою учетку, но не из Киева, конечно. Кстати, Киев тоже выбран неслучайно, вряд ли российский пользователь в нынешних условиях залогинится в свою учетную запись из столицы Украины, а если не он, то… украинские хакеры! Нагоняют жути, в общем.
Код этой страницы тоже прекрасно прокомментирован в расчете на широкую аудиторию. Ну а дальше – еще один редирект, теперь на tgme-system[.]pro/verif-***********, на котором уже висит сама фейковая форма входа. Ну а дальше все стандартно.
Берегите себя и свои учетки в Telegram. В последнее время наметился тренд, когда злоумышленники не просто пытаются одолжить деньги у друзей жертвы, но и выкачивают переписки, ищут информацию интимного или компрометирующего характера и либо шантажируют человека, либо продают ее на соответствующих площадках.
in2security
17 Oct, 10:38
Ленивый фишинг. А почему бы не заменить логотип Госуслуг на существующем уже несколько лет шаблоне на Росбанк? Увеличим сумму с 3 до 6 тысяч за опрос и сработает!..
Ну сработает же?
P.S. Знала ли эта девушка с копилкой с фотостока, что станет маскотом одной из самых масштабных фишинговых атак?
Ну сработает же?
P.S. Знала ли эта девушка с копилкой с фотостока, что станет маскотом одной из самых масштабных фишинговых атак?
in2security
15 Oct, 10:14
Тематика Мелстроя не дает покоя мошенникам. Снова фиксируем эпидемию сайтов с коробочками, действующими от имени популярного трэш-стримера. Только теперь все чаще используются домены третьего и четвертого уровней в сочетании с уникальными идентификаторами.
Живой (пока) пример: https://mjkq[.]asikpoz[.]shop/mell/?clickID=ewJ7PGRCMgL55sW/
Как вы понимаете, искать такие ресурсы весьма непросто, но тем не менее мы научились.
Удивительно, что схема с коробочками работает уже более 5 лет практически без изменений. Меняется лишь целевая аудитория, на которую ориентированы такие сайты. Поделитесь в комментариях идеями, каков портрет типичного поклонника стримов Мелстроя, на которых рассчитывают мошенники!
Живой (пока) пример: https://mjkq[.]asikpoz[.]shop/mell/?clickID=ewJ7PGRCMgL55sW/
Как вы понимаете, искать такие ресурсы весьма непросто, но тем не менее мы научились.
Удивительно, что схема с коробочками работает уже более 5 лет практически без изменений. Меняется лишь целевая аудитория, на которую ориентированы такие сайты. Поделитесь в комментариях идеями, каков портрет типичного поклонника стримов Мелстроя, на которых рассчитывают мошенники!
in2security
14 Oct, 16:11
Сложно перечислить все бренды, которые использовали украинские телефонные мошенники, действующие от имени несуществующих инвестиционных платформ. Компании нефтегазовой отрасли, банки, Илон Маск с Теслой и Space-X… Была и экспансия подобных сайтов в Европу и в Среднюю Азию, о чем мы неоднократно писали. И, казалось бы, чем можно удивить? А вот, ловите: инвестиции с Google.
Все тот же шаблон, меняется лишь текст и фоновая картинка или видео, все та же суть: отправьте нам свои контактные данные и с вами свяжется наш болванчик, который погрузит вас в мир инвестиций. Удивительно, насколько стабильно рабочей является данная схема. При неизменной сути она существует уже более 5 лет, обрастая всевозможными форками.
Впрочем, если попросить мошенников назвать ИНН и перечислить виды деятельности организации, они как правило быстро сливаются или начинают говорить, что ИНН – это конфиденциальная информация. Интересно, какой ИНН у компании Google Finance?
Все тот же шаблон, меняется лишь текст и фоновая картинка или видео, все та же суть: отправьте нам свои контактные данные и с вами свяжется наш болванчик, который погрузит вас в мир инвестиций. Удивительно, насколько стабильно рабочей является данная схема. При неизменной сути она существует уже более 5 лет, обрастая всевозможными форками.
Впрочем, если попросить мошенников назвать ИНН и перечислить виды деятельности организации, они как правило быстро сливаются или начинают говорить, что ИНН – это конфиденциальная информация. Интересно, какой ИНН у компании Google Finance?
in2security
09 Oct, 07:40
Очередной фишинговый сайт с биороботом, который за вас зайдет в ваш личный кабинет, а вы пришлете ему код из СМС. Вроде бы скукота, но не совсем.
Во-первых, вредоносный контент доступен только по конкретному URL, если вы введете в браузере имя домена, то получите просто заглушку от браузер (популярная в последние годы история).
Во-вторых, даже в URL-е название банка искажено, причем так, что это не тянет на тайпсквоттинг.
В-третьих, само имя домена строится по схеме, которую используют злоумышленники, промышляющие под видом госуслуг (расширяют горизонты!).
В-четвертых, налицо бескомпромиссность: вне зависимости от того, выберете ли вы прохождение опроса или отказ от бонуса, вам откроется опрос...
Ну а в остальном вполне обычный скучный фишинговый сайт для кражи доступа в личный кабинет банка. Из примечательного разве что отсутствие возможности вводить что-либо кроме букв в поле ответа на вопросы. Ну и правильно, долой эту мерзкую пунктуацию. Код для авторизации поступит в течение 5 минут. Это время нужно для того, чтобы биоробот вышел из анабиоза и успел залогиниться в личном кабинете жертвы.
Во-первых, вредоносный контент доступен только по конкретному URL, если вы введете в браузере имя домена, то получите просто заглушку от браузер (популярная в последние годы история).
Во-вторых, даже в URL-е название банка искажено, причем так, что это не тянет на тайпсквоттинг.
В-третьих, само имя домена строится по схеме, которую используют злоумышленники, промышляющие под видом госуслуг (расширяют горизонты!).
В-четвертых, налицо бескомпромиссность: вне зависимости от того, выберете ли вы прохождение опроса или отказ от бонуса, вам откроется опрос...
Ну а в остальном вполне обычный скучный фишинговый сайт для кражи доступа в личный кабинет банка. Из примечательного разве что отсутствие возможности вводить что-либо кроме букв в поле ответа на вопросы. Ну и правильно, долой эту мерзкую пунктуацию. Код для авторизации поступит в течение 5 минут. Это время нужно для того, чтобы биоробот вышел из анабиоза и успел залогиниться в личном кабинете жертвы.
in2security
07 Oct, 10:34
Национальный вопрос – это всегда острая тема. И именно на этой теме решили сыгрыть злоумышленники, создавшие фишинговый сайт под Федеральное агентство по делам национальностей на домене fadn-social[.]ru.
Тут все серьезно: посетителю надо будет дать развернутые ответы на 13 вопросов. Причем за прохождение не предлагают даже денег – все держится на идее. Но идея, как известно, дороже денег, поэтому желающие пройти опрос точно найдутся. Только потратив 10-15 минут своего времени и изложив свои доводы относительно будущего страны, а также ее многонационального народа, пользователь увидит, что из его системы поступает слишком много запросов и для продолжения требуется пройти защиту от ботов через популярную соцсеть. Так как потраченного времени, конечно же жалко, человек нажмет на кнопку и попадет на открывшийся во всплывающем окне классический фишинговый сайт, предназначенный для кражи аккаунтов. Что характерно, данный сайт располагается уже по другому адресу: vk.auth-s3[.]ru – популярная история в последние годы.
Ну а мы считаем, что национальный вопрос должны решать профессионалы в лице того самого Агентства, поэтому без лишних сожалений отправляем оба ресурса на блокировку!
Тут все серьезно: посетителю надо будет дать развернутые ответы на 13 вопросов. Причем за прохождение не предлагают даже денег – все держится на идее. Но идея, как известно, дороже денег, поэтому желающие пройти опрос точно найдутся. Только потратив 10-15 минут своего времени и изложив свои доводы относительно будущего страны, а также ее многонационального народа, пользователь увидит, что из его системы поступает слишком много запросов и для продолжения требуется пройти защиту от ботов через популярную соцсеть. Так как потраченного времени, конечно же жалко, человек нажмет на кнопку и попадет на открывшийся во всплывающем окне классический фишинговый сайт, предназначенный для кражи аккаунтов. Что характерно, данный сайт располагается уже по другому адресу: vk.auth-s3[.]ru – популярная история в последние годы.
Ну а мы считаем, что национальный вопрос должны решать профессионалы в лице того самого Агентства, поэтому без лишних сожалений отправляем оба ресурса на блокировку!
in2security
02 Oct, 10:55
Телефонные мошенники, которые представляются сотрудниками ЦБ или МВД, нередко используют вспомогательные сайты, на которых можно убедиться в том, что вам звонит настоящий представитель органов гос. власти, и проверить номер его удостоверения.
В последнее время мы отмечаем тенденцию, заключающуюся в том, что в целях маскировки фишинговых ресурсов все чаще применяются домены 3 уровня (эти люди реально думают, что это защищает от обнаружения?).
Вот, например, свежие фейковые сайты под ЦБ:
https://cbr.b-call.ru/
https://cbr.b-call24.ru/
Прямо как настоящие, только вместо пункта «Проверить участника финансового рынка» вставлен пункт: «Проверить информацию о сотруднике».
Ну а дальше все стандартно: введите Bank ID. Если ID совпадает с тем, что продиктует мошенник, то сайт выдаст подтверждение: «Этому сотруднику можно верить, переводите деньги на безопасный счет!», если же ввести абстрактные цифры, то скажет, что такого сайта нет.
Интересный момент. В футере сайта зачем-то указано, что он создан Студией Артемия Лебедева, хотя на настоящем сайте ЦБ РФ указано, что дизайн создан AIC.
Оба ресурса отправлены на блокировку, а заодно и в FinCERT Банка России. Как говорит Артемий: «Ну умер, и умер…»
В последнее время мы отмечаем тенденцию, заключающуюся в том, что в целях маскировки фишинговых ресурсов все чаще применяются домены 3 уровня (эти люди реально думают, что это защищает от обнаружения?).
Вот, например, свежие фейковые сайты под ЦБ:
https://cbr.b-call.ru/
https://cbr.b-call24.ru/
Прямо как настоящие, только вместо пункта «Проверить участника финансового рынка» вставлен пункт: «Проверить информацию о сотруднике».
Ну а дальше все стандартно: введите Bank ID. Если ID совпадает с тем, что продиктует мошенник, то сайт выдаст подтверждение: «Этому сотруднику можно верить, переводите деньги на безопасный счет!», если же ввести абстрактные цифры, то скажет, что такого сайта нет.
Интересный момент. В футере сайта зачем-то указано, что он создан Студией Артемия Лебедева, хотя на настоящем сайте ЦБ РФ указано, что дизайн создан AIC.
Оба ресурса отправлены на блокировку, а заодно и в FinCERT Банка России. Как говорит Артемий: «Ну умер, и умер…»
13,758
subscribers
887
photos
3
videos
