В конце июля Правительство объявило о продлении на год программы льготной ипотеки. Эта новость подстегнула желающих приобрести жилье к активным действиям. Естественно, не остались в стороне и злоумышленники.
 
С начала сентября 2021 года в сети появилось более 60 доменов со словом ipoteka, в ходе анализа которых было выявлено 27 новых сайтов, предлагающих помощь в получении ипотеки.
 
Все подобные ресурсы объединяют общие черты: несуществующая организация или полное отсутствие сведений о компании на сайте, неработающие телефоны, отсутствие политики обработки персональных данных, фейковые отзывы клиентов и неизменная форма для отправки заявки.
 
Злоумышленники завлекают людей обещанием получения ипотеки без лишних документов и подтверждения дохода (обязательного для льготной ипотеки). Естественно, на деле все будет не так радужно и клиент подобной «организации» рискует остаться и без денег, и без недвижимости.
@In4security

Количество случаев заражения COVID-19 снова растет, регионы вводят новые карантинные меры, а это значит, что опять найдутся люди, желающие приобрести в интернете сертификат о вакцинации.

В течение лета мы находили на различных площадках не один десяток объявлений о продаже сертификатов, но лишь одно-два из них выглядели достаточно достоверно – процесс получения сертификата был растянут на 20 дней в течение которых заказчик виртуально получал сперва первую, потом вторую прививку, ну а затем и сам сертификат. В основной же массе такие объявления – это чистой воды обман. В лучшем случае покупатель получит похожую на сертификат цветную бумажку, толку от которой будет не много.

Интересно, что даже в таких схемах используется фишинг. В целях подтверждения факта внесения сертификата в базу покупателю отправляют qr-код или ссылку, которая ведет на фейковый сайт, после чего довольный обманутый клиент переводит злоумышленникам деньги.
Хорошим примером такого сайта является свежесозданный http://kazan-gosuslugi.ru. Несмотря на всю его простоту он содержит несколько любопытных артефактов. Например, в качестве заголовка указано «Скам777», а кнопка «Закрыть» ведет на размещенный на YouTube трэш-мультсериал «Каменщик».

Есть и другие примеры, в частности, https://gosuslugianticovid.ru. Правда здесь практически весь код идентичен оригинальной странице на Госуслугах. Его создатели даже поленились вырезать здоровенный скрипт, который на фейковом сайте абсолютно не нужен и лишь увеличивает размер страницы.
@In4security

Злоумышленники стали все чаще использовать для фишинговых рассылок популярный инструмент Protosender

Данный инструмент интересен прежде всего тем, что помимо предельно гибких настроек рассылок позволяет использовать «черные», скачанные из интернета базы email-адресов, импортируя их из наиболее распространенных форматов файлов.

Несмотря на то, что инструмент позиционируется прежде всего как маркетинговый, по факту это просто подарок для спамера. С начала октября мы выявили уже более десятка новых ресурсов, на которых развернут данный скрипт. Свежие примеры - http://etalon-bank.ru и http://bank-sms.ru.

Банк «Эталон» прекратил свое существование еще в 2009 году, но, как видите, бренд его продолжает эксплуатироваться. Несмотря на то, что скрипт позволяет использовать множественные SMTP-серверы и отправлять письма с самых разных адресов, в целях экономии злоумышленники нередко используют один сервер как для управления рассылками, так и для отправки писем.

Выбор доменов говорит нам о возможной активизации электронных рассылок от имени фейковых банков. С учетом того, что по сети гуляет огромное количество баз электронных адресов клиентов МФО или людей, оставлявших заявки на кредит, такие ресурсы могут представлять реальную угрозу.

В целом же сохраняется тенденция к росту числа сайтов несуществующих банков. Пример сферического фейкового банка в вакууме - http://www.mavis-bank.ru. По сравнению с 2019-2020 годами существенно выросло разнообразие шаблонов фейковых сайтов, типовые и легкоузнаваемые ресурсы встречаются все реже. В то же время ключевые приемы злоумышленников остались неизменными: подобного рода сайты используют номера лицензий и реквизиты существующих банков, а также неизменную форму обратной связи для приема заявок на кредиты.

Будьте осторожны и проверяйте лицензию и адрес сайта банка на портале ЦБ РФ.
@In4security

Про фейковые банки мы уже писали, настало время фейковых театров. Бывает и такое явление. И речь тут идет не о сайтах, перепродающих билеты реальных театров втридорога, а о ресурсах театров, которых не существует в природе.

Сайт https://russia-theatre.ru является отличным примером данной мошеннической схемы. С некоторыми изменениями он кочует с домена на домен уже второй год, представляясь то Драматическим театром им. Фадеева, то, как сейчас, просто Государственным драматическим театром.

Ранее ресурс использовал доменные имена theatrdram.ru, theatredrama.ru, theatr-dram.ru, dram-theatr.ru и ряд других. В качестве контактного адреса электронной почты указан: contacts@afishadram.ru. Шаблон сайта и логотип скопированы с сайта реального петербуржского сайта «Приют комедианта» (http://www.pkteatr.ru). Фотографии актеров и спектаклей надерганы с сайтов самых разных российских театров.

Самое смешное, что если попытаться купить билет, вам предложат выбрать один из адресов в 20 городах России. Никого не смущает, что согласно данной логике, спектакль с одними и теми же актерами должен идти на 20 площадках одновременно. Все для того, чтобы угодить публике. Стоимость билетов колеблется в диапазоне от 2 до 7 тысяч рублей.

Люди попадают на подобного рода сайты как через поисковики, достаточно всего лишь ввести в строке поиска "драматический театр", так и в результате более сложных социотехнических схем. Так что если некая девушка в Tinder предлагает вам сводить ее в театр и присылает ссылку на вышеупомянутый сайт,  подумайте, нужно ли вам такое свидание.
@In4security

Скриншот сайта https://russia-theatre.ru.
@In4security

Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 28 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов в .ru-зоне мы не встречали с весны.

Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.

С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.

Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/VPyTt5Ye
@In4security

30 августа 2020 года Моргенштерн объявил о розыгрыше своего Мерседеса. И несмотря на то, что еще год назад этот Мерседес уехал к подписчику из Узбекистана, мошенники продолжают эксплуатировать этот инфоповод, создавая новые сайты и рекламируя их в YouTube и Instagram.

Вот и свежий пример – сайт http://ruboxmorgen.store – торжество абсурда. Максимально некачественное фото, вырвиглазный дизайн и обещание выигрыша от 5 до 100 тысяч долларов (постойте, а где же Мерседес?). Впрочем, сайт выполняет свою главную функцию: переадресовывает людей непосредственно на сайты фейковых розыгрышей, оставаясь при этом практически неуязвимым для антимошеннических проектов. Сейчас, например, вся противоправная активность сосредоточена на сайте https://happy.winboxxy.com, на котором развернута классическая схема с коробочками, существующая уже лет 6, не меньше.

Непосредственно хищение средств осуществляется через очередной мусорный платежный шлюз https://pay.qecaz.top/page/8842b5M51875e45/form.html.
@In4security

Новости о росте числа заболевших COVID-19 прочно закрепились в топе публикаций СМИ. При этом некоторые регионы заметно опережают среднероссийские показатели. Например, в Ярославской области статистика заболевших уже не первый день ставит антирекорды.

Опытный предприниматель (с 2014 года) Леонид из города Ярославля, владелец "островков" по продаже вейпов в ТЦ «Лотос» и «Двина», со всей ответственность подошел к сохранению здоровья своих клиентов, так как понимает, что вирус в первую очередь поражает легкие - самый ценный ресурс его клиентов и… создал в онлайн-редакторе сайт http://covid19-hellix.ru, на котором сам себе проставляет отрицательный результат тестирования на COVID от имени сети лабораторий «Хеликс», а попутно делится своими персональными данными со всем Интернетом.

Тем временем c момента нашего вчерашнего поста в зоне .RU появилось еще 18 доменов со использованием GOSUSLUGI, октябрь явно идет на рекорд по количеству ковидно-госуслуговых доменов!
Ознакомиться можно по ссылке https://pastebin.com/acGKRR6E
@In4security

Фейковые сайты пиццерий наводняют поисковую выдачу уже год. Кто-то остается без ужина и без денег, а кто-то зарабатывает на этом капиталы. И пока крупные международные ИБ компании не могут выйти на след злодеев, мы рассказываем о том, как простой парень с именем на букву «М» весьма успешно организует свой гешефт, продавая в даркнете шаблон фишингового сайта: https://te.legra.ph/Obman-na-tonkom-teste-10-22
@In4security

За последние сутки появилось еще 23 домена в зоне .RU, связанных с "Госуслугами". К популярной теме начинают подключаться не самые расторопные мошенники.
Мы как всегда отслеживаем такие домены и  помогаем с блокировкой. Список доступен по ссылке: https://pastebin.com/7n0wtKmN

Помимо откровенных мошенников встречаются и «хитрые» пользователи, рисующие себе положительные результаты тестов. Например, бизнес-тренер Ирина Коскинен (https://irinakoskinen.com), специализирующаяся на развитии эмоционального интеллекта. Её развитого интеллекта вполне хватило на создание двух фейковых сайтов с отрицательным результатом на COVID от лаборатории CMD который возьмут через 2 дня - http://cmd-online-dff251020219091.ru (https://web.archive.org/web/20211023145853/http://cmd-online-dff251020219091.ru/) и http://cmd-online-dff251020219092.ru (https://web.archive.org/web/20211023145919/http://cmd-online-dff251020219092.ru/) - для себя и для мужа.

С учетом того, что работа бизнес-тренера – это как работа палача – хоть не на воздухе, но с людьми, подделка результатов теста на коронавирус видится не самым разумным решением. Надеемся, что после её визита в Россию 26 октября, у нас в стране не появится нового неизлечимого штамма.
@In4security

В преддверии ноябрьских выходных мы наблюдаем очередную волну активизации мошенников. Теперь под удар попал гигант российской электронной торговли Ozon.

Сайты OZON-SALES-PROMO.RU (зарегистрирован 23.10.2021) и OZON-PROMOTION.RU (зарегистрирован 22.10.2021) сделаны в конструкторе Tilda и предлагают получить индивидуальную скидку в размере 30%, для чего необходимо обратиться в WhatsApp. В настоящий момент злоумышленники используют номер +79914499343. Ранее в октябре мы фиксировали появление такого же фишингового ресурса на домене OZON-PROMO.RU (уже недоступен), а в качестве контактного номера использовался +79842676875.

Но если тогда общение с мошенниками не принесло результатов, то теперь на номере (который, кстати, подключен к бинзнес-аккаунту), работает бот.

Бот предлагает прислать ему ссылку на понравившийся товар с Озона, после чего генерирует ссылку на оплату, которая действует в течение 60 минут. В нашем случае ссылка ведет на https://ozon.bron-pay.ru/order/cc361cd0 (сохраненная копия в веб-архиве)- страницу с логотипом Ozon и имеющую favicon с логотипом Авито. Это говорит нам о том, что мошенники, уже почти 2 года терроризирующие пользователей Авито, Юлы, Блаблакара и прочих букингов, добрались до крупнейшего российского маркетплейса.

Этой осенью Ozon, судя по всему, вообще будет в тренде, раз уж даже сайт PROMOKODI-SVYAZNOY.RU (зарегистрирован 23.10.2021) сразу перенаправляет на https://ozon-promokody.ru – сайт-долгожитель, существующий уже полгода.
@In4security

Пример работы бота мошенников.
@In4security

Фишинговая страница оплаты. Обратите внимание на оставшийся от Авито favicon в заголовке вкладки браузера.
@In4security

Продажа QR-кодов о вакцинации выходит на новый уровень. Сайт https://www.qr-korona.ru предлагает приобрести не поддельный код, а образец того, как он будет выглядеть. Ну вы поняли. Это примерно как заведения, торгующие в ночи алкоголем, продают вам не водку, а бутылку от нее, или вовсе сдают в аренду.

Даже оплата услуг в размере 1990 рублей здесь скромно называется «пожертвованием на развитие сервиса».

После оплаты покупатель получает код, который ведет на фейковый сайт госуслуг, типа тех, что мы уже показывали.

С учетом того, что в октябре количество фейковых доменов под госуслуги уже почти достигло 300, ковидный бизнес вполне себе развивается.

Правда остается посочувствовать донатерам. Вряд ли фейковые домены проживут достаточно долго для того, чтобы ими можно было реально воспользоваться.
@In4security

Пока страна готовится к очередной волне нерабочих дней, школьники ждут каникул, до которых осталась всего неделя. Ну а чем заняться на каникулах после новостей о победе нашей команде в турнире по Dota 2? Залипнуть в компе, ведь теперь можно гордо сообщать родителям, что ты киберспортсмен, а это просто тренировка.

Подготовились к этому не только школьники, но и желающие отжать чужой аккаунт в Steam. Мало того, что количество фейковых страниц выросло, так еще и повысилась их изощренность. Вместо простой фейковой формы ввода логина и пароля в ходу сайты типа https://steam-officialoffers.xyz, на котором вам предложат на обмен какой-нибудь полезный шмот.

Или страницу «Ламповой Няши» Ксюши (https://steamcomnunlity.ru), с которой можно не только торговать, но и подружиться. При попытке совершить какое-либо действие жертве откроется фрейм, имитирующий окно браузера со страницей авторизации Steam. При этом адрес сайта в нем будет написан правильно, так что жертва вполне может не заметить подвоха.

Еще одним способом притупить бдительность жертвы является использование ссылок вида http://steamcommunityzfh.top/store.steampowered.com/login/, вторая часть в которых совпадает с реальным адресом сайта. 20 октября кто-то разом зарегистрировал 13 таких доменов через китайского регистратора и поднял на них фишинговые сайты, располагающиеся на достаточно редком российском хостинге.
@In4security

Примеры фишинговых страниц под Steam. Обратите внимание на фрейм с фальшивым адресом и SSL-сертификатом.
@In4security