Российский ритейл снова под прицелом киберпреступников

Начиная с последних чисел августа мы фиксируем интенсивную атаку на российский ритейл-сектор. На сегодняшний дней под ударом находится порядка 15 популярных российских брендов, в том числе «Дочки Сыночки» «Красное и белое», «Бристоль», «Дикси», «Ашан», «О’Кей», «Wildberries», «DNS», «Связной, «Ситилинк», «Татнефть», «Huawei», а также «Теле2». Ознакомиться с примерами таких сайтов вы можете по ссылке.

Все сайты выполнены на едином шаблоне и предлагают пройти опрос от имени известной компании и получить возможность выиграть приз. Для имитации розыгрыша применяется популярная на сайтах мошенников схема с открытием коробочек. Естественно, с последней попытки жертва получает возможность забрать приз при условии, что отправит ссылку на розыгрыш 20 людям из контакт-листа или разместит ссылку в 5 сетевых сообществах в мессенджерах.

Подобная схема позволяет обеспечить широкое вовлечение потенциальных жертв и стремительное расширение их аудитории без использования громоздких и малоэффективных схем типа рассылки спама. Помимо этого, сам факт того, что человек получает ссылку на фейковый сайт от своего друга, заранее повышает шансы того, что он перейдет по ссылке и станет очередным звеном в цепочке распространения.

Исходя из количества задействованных брендов, можно говорить о том, что это самая массированная атака на клиентов ритейла в 2021 году.
@In4security

В списке компаний из вчерашнего поста помимо ритейлеров присутствует, в частности, «Татнефть». Это неудивительно, злоумышленники играют на популярности сети заправок, ежемесячно создавая фейковые сайты, ориентированные на клиентов. А вот фишинговые сайты, нацеленные на корпоративных клиентов компании «Татнефть» попадаются куда реже. Тем интереснее появление 10 сентября сразу двух доменов TATNEFT-OAO.RU и TATNEFT-SAMARA.RU.

На первом из них стоит редирект на официальный сайт, а это значит, что домен может применяться, например, для фишинговых почтовых рассылок от имени компании, причем как в адрес клиентов или партнеров, так и в адрес отдельных сотрудников.

На втором домене висит действующий сайт ООО «Татнефть Самара», не имеющий к данному ООО ни малейшего отношения, и являющийся классическим представителем схемы Russian Oil Scam, о которой мы неоднократно писали.
@In4security

Если говорить коротко, мошенники создают фейковые сайты небольших российских нефтяных компаний, нефтебаз и нефтеналивных портов (как правило не имеющих собственных сайтов) и предлагают от их имени зарубежным, а иногда и российским компаниям приобрести партию нефтепродуктов на выгодных условиях. Подобные сайты всегда имеют англоязычную версию, а иногда даже не имеют русскоязычного варианта. Самая главная информация на них – это телефон и адрес электронной почты, которые в дальнейшем будут использоваться злоумышленниками для общения с жертвами.

За последние 2 года в наше поле зрения попадало более 1500 подобных сайтов. Используемый на сайте https://tatneft-samara.ru шаблон и описание являются типовыми для нескольких десятков фейковых ресурсов.

Обратите внимание на фразу: «доля ООО "Татнефть-Самара" в добыче нефти в России достигает 97%», она сразу говорит нам об ориентированности сайта в первую очередь на зарубежные фирмы, плохо представляющие, что происходит в России.
@In4security

Ничего странного, просто созданный позавчера фейковый магазин по продаже электросамокатов https://e-smart91.ru с картинкой, на которой изображены роботы-пылесосы, и кнопкой, ведущий в созданное неделю назад сообщество ВКонтакте https://vk.com/e_smart91, предлагающее дорогущие роботы-пылесосы по одному рублю и принадлежащее якобы существующему с 2004 года магазину, торгующему электроникой и использующему реквизиты индивидуального предпринимателя, который, вероятно, ни сном, ни духом о существовании этого сайта.

Если кто-то попросит вас показать квинтэссенцию фейкового сайта, дайте ему ссылку на этот пост.
@In4security

Владельцы российских доменов находятся под угрозой. С середины лета мы фиксируем активизацию фишинговых рассылок от имени регистраторов доменных имен с информацией о том, что требуется незамедлительно оплатить продление регистрации домена. Ссылка ведет на фишинговую страницу с формой оплаты, предлагающей ввести данные банковской карты.

Злоумышленники выбирают домены, срок регистрации которых подходит к концу и отправляют письмо на почтовый ящик, находящийся в этом домене. С учетом того, что на многих сайтах настроена автоматическая пересылка писем, поступивших на несуществующие ящики, на адрес администратора, такая тактика работает.

Несмотря на то, что подобная тактика злоумышленников не несет угрозы самому домену, потерять деньги на таком обмане вполне реально.
@In4security

На одном из российских теневых форумов выложили базу проживающих в Санкт-Петербурге членов и сторонников различных политических партий.

Файл в формате Excel содержит данные 5000 человек, включающие ФИО, дату рождения, адрес, телефон и название партии. Появление этого файла в общем доступе прямо в канун выборов явно не случайно, однако и на вброс, призванный скомпрометировать политических конкурентов, это тоже не похоже, ведь в файле содержатся сторонники самых разных партий.

Наиболее вероятно, что утекли данные предвыборных агитаторов, хотя и эта версия требует проверки. В общем, политика – дело опасное.
@In4security

В последние годы фишинговым атакам подвергаются не только клиенты банков из ТОП-20, но и небольших региональных кредитных организаций. В качестве примера можно привести совсем свежий фишинговый сайт «Севергазбанка» https://severogazbank.com, который сходу предлагает ввести данные карты и код из СМС. Подобные фишинговые сайты появляются ежедневно, а слово «банк» остается одним из самых популярных слов в составе доменных имен.

Но помимо фейковых личных кабинетов существующих банков в сети активно плодятся и сайты фейковых банков. Вот, например, «Банк социальной поддержки населения». Зачастую такие сайты созданы на едином шаблоне, меняется лишь название и логотип. Мы уже не раз писали о сайтах несуществующих банков, но на свет появляются все новые и новые фальшивые кредитные организации. С начала года их количество уже перевалило за 150 штук.
@In4security

Похоже, что Group-IB решила проверить своих сотрудников на предмет знания основ ИБ.

Домен smail-group-ib.com зарегистрирован 17 сентября. Сайт имитирует страницу авторизации Voltage Secure Mail, сервиса шифрования электронной почты, и крадет вводимые пароли, после чего (вне зависимости от того, какой пароль вы ввели) показывает фейковую страницу, имитирующую зашифрованное сообщение с адреса martyanov@group-ib.com.

При попытке скачать прикрепленный файл пользователя перекидывает на еще один ресурс -  https://group-ib-internal.com, домен которого зарегистрирован 18 июня 2021 года. При этом искомый файл на сервере отсутствует. Оба сайта располагаются на серверах весьма экзотического австралийского хостера.

Если же это не внутренний пентест, то сотрудникам международной ИБ-компании следует насторожиться, ведь данная ситуация имеет все признаки целевой атаки.
@In4security

Утекший пароль от корпоративной учетки всего лишь одного сотрудника ставит под угрозу безопасность всей компании. Мы проанализировали публичные утечки информации на предмет наличия в них учетных записей популярных ритейл-брендов (и не только), и вот результат.

Скомпрометированные учетные записи используются в самых различных сценариях атак, но применительно к крупной компании это прежде всего утечки конфиденциальных сведений, в частности информации о готовящихся сделках, что дает злоумышленникам реализовать атаку man in the middle (человек посередине), зарегистрировав домены, схожие с официальными доменами контрагентов и выступив «прослойкой» между договаривающимися сторонами, а в нужный момент подменив платежные реквизиты. Такие атаки стали особенно популярны в последние годы и бизнес несет от них серьезные убытки.

Основных способов борьбы с данным явлением всего два: мониторить утечки паролей и появление созвучных доменов и оперативно блокировать их.
@In4security

Более 30 фишинговых сайтов за 4 месяца. Нет это не статистика атак на клиентов банка. Под ударом контрагенты фанерных заводов и предприятий по производству подсолнечного масла. О том, как один фишинговый сайт помог вскрыть глобальную преступную схему, рассказываем в новой статье: https://te.legra.ph/Fanernye-dekoracii-09-23
@In4security

Пока в России фиксируется очередной всплеск заболеваемости COVID-19, мошенники пытаются выжать из этой темы все возможное. Мы уже не раз рассказывали о различных фейковых сайтах, связанных с коронавирусом, но сегодняшний пример, сайт https://covidpay.ru просто поразил нас своим примитивизмом: введите имя, адрес и данные карты.

Похоже, что желание нажиться на пандемии привлекло в этот бизнес даже совсем махровых дилетантов. Они взяли программу HTTrack Website Copier и скопировали сайт еще одних мошенников: https://docs-docs.net, продающих фейковые медицинские справки. После чего удалили с него все лишнее и добавили самую примитивную форму ввода данных.

Ну вот правда, зачем придумывать дизайн, писать скрипты, отвечающие за обработку информации, как это сделали, скажем, мошенники, предлагающие коронавирусные выплаты от имени ВТБ: https://5-tys-bonus.ru, когда можно слепить вот такую поделку, в надежде, что и она найдет свою аудиторию.

P.S. Оба ресурса отправлены на блокировку.
@In4security

Недавно мы писали о том, что международная компания Group-IB по всей видимости проверяет своих сотрудников на предмет знания основ ИБ. Но ее бренд настолько раскручен, что грех было бы им не воспользоваться скажем… для взлома страниц Вконтакте.

Сайт http://group--ib.com редиректит на https://connectvk.com/restore/317298152, на котором располагается классическая фишинговая форма смены пароля к аккаунту ВКонтакте.

Что ж, поможем коллегам. Домен отправлен на блокировку.
@In4security

Согласно данным сайта vyborygov.ru, в ходе электронного голосования партия «Единая Россия» набрала 99.66% процента голосов.

vyborygov.ru, в ходе электронного голосования партия «Единая Россия» набрала 99.66% процента голосов.

Интригует, не правда ли? Сайт https://vyborygov.ru появился в сети 16 сентября, за день до начала электронного голосования, и предложил своим пользователям 2 опции.

В период выборов на сайте можно было стать виртуальным наблюдателем. Для этого было нужно всего лишь ввести логин и пароль от портала госуслуг.

Ну а после голосования сайт предложил ознакомиться с его результатами. Только вот эти результаты, мягко говоря, не соответствуют действительности. У любого человека, увидевшего эту статистику, возникает естественное желание разобраться в деталях. Но для этого опять придется ввести логин и пароль от госуслуг.

Вот и получается, что несостоявшиеся наблюдатели будут наблюдать за тем, как их личный кабинет на портале госуслуг используют мошенники, а желающие разобраться в исходе выборов будут пытаться понять, когда и куда утекли их учетные данные
@In4security

В сентябре появилось более 100 доменов со словом «отзыв», причем многие из них явно были зарегистрированы одними и теми же людьми. В некоторые дни такие домены покупались пачками по 10 штук.

Естественно, что это «вж-ж-ж» - неспроста. Давайте разберем возможные сценарии использования таких доменов. Первое, что приходит в голову – это продажа отзывов «на заказ». Данный бизнес вполне процветает, а сама услуга пользуется популярностью среди не слишком чистоплотных бизнесменов и откровенных мошенников. Тем более, что некоторые домены типа kypit-otzyvy.ru просто напрямую сообщают нам о своем предназначении. Можно заказать как положительные отзывы о своем товаре или услугах, так и отрицательные о конкурентах.

Ну и второй сценарий – это поддельные сайты-отзовики. Схема их работы куда интереснее: злоумышленники создают сеть таких сайтов, выбирают в качестве жертвы какую-нибудь компанию и наполняют сайты негативными отзывами и прочим компроматом, после чего связываются с организацией и предлагают удалить эти отзывы за скромное (или не очень) вознаграждение. Естественно, заранее обеспечивается попадание таких сайтов в результаты поисковой выдачи по ключевым словам, связанным с атакуемым брендом. При должной «раскрутке» подобная атака способна нанести достаточно серьезный репутационный ущерб, особенно если речь идет о малом или среднем бизнесе.

Ознакомиться с выявленными в сентябре доменами вы можете по ссылке: https://pastebin.com/0Lw70Jhi. А если вы хотите подробнее ознакомиться со сценариями использования фейковых сайтов-отзовиков, рекомендуем вам прочитать материал наших коллег с канала «Интернет-Розыск».
@In4security

За 2 недели до переписи населения 2021 снова произошла утечка. На этот раз в сеть попали данные 68 000 волонтеров, зарегистрированных на сайте www.strana2020.ru.
 
Именно такую базу, состоящую из номера телефона и хэш-суммы, предлагает для продажи один из пользователей популярного даркнет-форума.
 
Судя по его немногочисленным сообщениям, он активно занимается поиском и эксплуатацией уязвимостей, в частности посредством SQL-инъекций, благодаря чему его жертвой уже стал один из банков Таиланда.
 
Наша проверка показала, что продаваемая база действительно может содержать данные пользователей сайта www.strana2020.ru, вот только регистрация на сайте предусмотрена лишь для участия в играх и конкурсах, а сама авторизация происходит по одноразовому коду из СМС без использования постоянных паролей. При этом выборочная проверка номеров телефонов подтвердила их статус "в сети".
 
Несмотря на то, что база не содержит персональных данных, она все равно может представлять интерес для мошенников, например, в рамках приемов социальной инженерии, ведь чем больше данных о потенциальной жертве известно, тем проще подготовить и провести целевую атаку для получения логина и пароля,  например от портала госуслуг, особенно после официального начала переписи населения.
@In4security

Образец продаваемых данных пользователей сайта www.strana2020.ru

На фоне сбоя в Facebook аудитория Telegram пополнилась аж 70 миллионами новых пользователей. Но так ли безопасен мессенджер, в котором вы сейчас читаете эту публикацию?

В целом – да, если вы понимаете, что делаете и внимательно относитесь к вопросам информационной безопасности. Но в отличие от того же WhatsApp у Telegram есть особенность: если злоумышленники сумеют залогиниться, они получат доступ ко всем вашим перепискам кроме приватных. Ну и бонусом смогут, к примеру, угнать популярный канал или навести суету в чатах, в которых вы состоите.

Именно на это рассчитывают создатели сайта https://web-telegram.site, предлагающего ввести номер телефона от Telegram-аккаунта и код из смс.

С учетом того, что домен зарегистрирован еще 28 сентября, за 6 дней до глобального сбоя в FB, его владельцы либо настоящие провидцы, либо просто счастливчики. Ну а мы отправляем сайт на блокировку и рекомендуем его хозяевам прикупить десяток-другой лотерейных билетов. С их везением может и выйдет что-то хорошее.
@In4security

Утечка данных Twitch позволила посмотреть, сколько заработали топовые блогеры за 3 последних года.
 
Список сперва был заботливо выложен на Архивач, а потом перезалит на Pastebin: https://pastebin.com/LjmaPNam.
 
Теперь каждый может отыскать любимого стримера и сравнить его доход со своей зарплатой.
@In4security

Что может объединять фишинговый сайт банка и клон сайта сервиса по доставке еды?
 
Как это ни странно, но один и тот же домен. Казалось бы, зачем поднимать на однозначно ассоциированным с банком домене сайт организации, не имеющей никакого отношения к кредитно-финансовой сфере, а спустя несколько часов менять его на полноценную страницу для кражи логина и пароля от интернет-банкинга? Может быть для того, чтобы сперва подзаработать на сотрудниках желающих заказать обед в офис, а потом добить компанию атакой на бухгалтерию? Конечно, нет. Все намного проще.
 
Во-первых, размещение на банковском домене фейкового сайта фастфуда позволяет его владельцам запудрить голову тем, кто анализирует свежие домены в поисках банковского фишинга. Во-вторых, такая стратегия дает возможность запустить рекламную кампанию фишингового ресурса и пройти модерацию, ведь фейковый сайт общепита гораздо менее очевиден нежели фальшивый сайт банка.
 
А вот когда модерация пройдена, можно подкорректировать объявление и загрузить на сервер непосредственно фишинговый ресурс. Бонусом служит возможность «включать» и «выключать» фишинговый сайт, заменяя его сайтом-прикрытием.
 
Впрочем, специалисты нашего Центра реагирования на компьютерные инциденты (CERT) давно раскусили данную схему и без проблем выявляют такие вредоносные ресурсы, после чего отправляют их на блокировку.
@In4security

А вот и пример скриншотов одного сайта, сделанных с интервалом в 6 часов. Как видите, место пиццы заняла банальная форма входа в личный кабинет одного из крупнейших банков.
@In4security