На днях в сети появились ресурсы, предлагающие принять участие в конкурсе, каждый участник которого получит возможность выиграть квартиру или люксовый автомобиль. Лицами конкурса злоумышленники в этот раз сделали Ольгу Бузову и президента Международной федерации бокса Умара Кремлёва, взяв первую подвернувшуюся в сети фотографию.

Один из действующих сайтов: https://novogodneepromo.ru/

После перехода по ссылке жертва через череду переадресаций попадает на сайт, предлагающий стандартную вариацию «конкурса с коробочками» по адресу: https://big.boxes.buzz. Для получения выигрыша жертве потребуется ввести номер карты и оплатить «комиссию за конвертацию». Платежная форма находится по адресу: https://a5pay.icu и открывается по уникальной ссылке, генерируемой для конкретной жертвы.

Несмотря на то, что сама по себе схема не нова, перед новым годом она обретает новое дыхание, а использование образов медийных персон вселяет дополнительную уверенность участникам конкурса.
@in4security

Как только на Youtube-канале «RTД на русском» был выложен ролик о борьбе с хакерами, на специализированном даркнет-форуме появилось объявление о продаже доступа к записям и управлению студией звукозаписи данного телеканала.

По утверждению хакеров доступ позволяет:
- прервать телетрансляцию
- загрузить изображение и заменить
- изменять настройки потокового сервера
- получить возможность просматривать примеры частных записей.
@In4security

Планируете путешествие на Новый Год? Тогда остерегайтесь мошенников. Схемы по обману покупателей на маркетплейсах давно вышли за их границы, мы уже неоднократно писали про экспансию на booking, blablacar и Airbnb. И вот на последнем бренде в преддверии новогодних праздников мошенники похоже решили собрать особый урожай.

Возьмем вчерашние домены:
AIRBNB-RESERVE.ru
AIRBNB-RESERVERD.ru
Что вы видите? Редирект на официальный сайт? Правильно. Просто вы не являетесь целевой аудиторией и не откликнулись на объявление. Если же откликнитесь, бот сформирует для вас уникальную ссылку. Просто и изящно. Как видите, если один и тот же сценарий эксплуатировать на разных площадках, он продолжает работать.

Неосторожный пользователь Airbnb рискует остаться без новогодней локации, зато обеспечит дополнительную бутылку шампанского очередному малолетнему сверхразуму, научившемуся отправлять сообщения телеграм-боту и возомнившему себя хакером.

Впрочем, бутылка бывает разной, ну вы поняли.
@In4security

А наш канал куда популярнее, чем мы думали. Ладно бы у нас просто воровали новости без ссылки на канал, это делают регулярно, мы давно не обижаемся: почему бы не помочь с инфоповодами тем, у кого с этим совсем туго.

Но тут мы столкнулись с новым явлением. Вскоре поле нашей публикации про сайты фейковых СМИ, на которых можно запостить любую новость при помощи Telegram-бота, созданного одной весьма известной персоной, мы обнаружили в Telegram действующего под нашей вывеской бота, предоставляющего доступ к не нуждающемуся в рекламе сервису "Глаз Бога", внезапно созданному той же самой известной персоной.

Совпадение? Решайте сами. В любом случае, мы не имеем никакого отношения к данному боту, а сам он вскоре отойдёт в мир иной, последовав вслед за своими многочисленными зеркалами.
@In4security

Ну хоть кто-то заботится о повышении компьютерной грамотности сотрудников органов государственной власти.

Сайт https://cyber-voin.ru предлагает бесплатно за 40 минут сделать из рядового бюджетника настоящего кибервоина. Создатели курса даже придумали новую ветвь власти – «организационная власть», при этом функционируют они благодаря «госсударственным грантам» (орфография оригинала сохранена).

Офис у компании находится в самом центре Санкт-Петербурга по адресу Невский проспект 25А, а вот телефоны зарегистрированы в Белгородской и Ульяновской областях, очевидно подчеркивая федеральный размах. Впрочем, сайт настолько лажовый, что даже фраза «После окончания нашего курса по кибербезопасности вы станете гуру по предлелению опасностей кибер-мира!» не может его испортить! Ведь эти ребята выпустили на четверть больше людей, чем было у них зарегистрировано!

Ну а венчает всё это великолепие цитата несуществующего в природе Тимура Вельханова, прикрывающегося наспех нагугленной в сети фотографией.
@In4security

Подводя итоги года, проведем анализ динамики угроз, с которыми сталкивался наш сервис мониторинга цифрового пространства в 2020-2021 годах.

В абсолютных цифрах самыми популярными направлениями криминального бизнеса уже не первый год являются: фишинг, продажа данных банковских карт или доступов в ЛК, услуги по открытию расчетных счетов и пробив данных. При этом три последние категории составляют в совокупности 80% от всех существующих на черном рынке предложений об оказании противоправных услуг, относящихся к кредитно-финансовой сфере. Еще 6,5% приходится на отмывание денег и услуги по обналу.

А вот если рассматривать проблематику в динамике, то тут все куда интереснее.

Неожиданно для нас рекордсменом по темпам роста стали услуги по продаже или изготовлению поддельных документов. Их количество за год выросло в 6,5 раз. Во многом данная тенденция связана с высокой популярностью объявлений о продаже сертификатов о вакцинации, однако, на нее оказывают влияние и многие другие причины, в частности, фейковые кредитные организации.

На втором месте вполне ожидаемо находится фишинг. В абсолютных цифрах с ним точно ничего не сравнится даже несмотря на то, что в 2020 году он и так побил все рекорды благодаря пандемии и всплеску мошенничеств на торговых площадках. Но фишинг сохраняет необычайно высокие темпы роста: в 2021 году мы зафиксировали в 6 раз больше фишинговых ресурсов, чем годом ранее.

Третье место делят между собой нелегальные услуги в сфере страхования и продажа готовых скам-схем и скриптов. В 2021 году количество таких предложений выросло в 2 раза.

А вот главным аутсайдером нашего рейтинга становятся услуги по пробиву данных: по сравнению с 2020 годом их стало ровно в 2 раза меньше, а цены на подобные услуги после известных событий прошлого года значительно выросли.
@In4security

Пока значительная часть страны отдыхает, мошенники работают.

2 января, как только закончился первый тазик оливье, они пришли к выводу, что создать один фишинговый сайт, который позволит разом охватить клиентов самых разных банков, куда практичнее, чем делать десятки разношерстных ресурсов. Так на свет появился сайт mastercard-bonus.ru, предлагающий принять участие в программе поощрения от имени одноименной платежной системы. Для участия в программе вознаграждения нужно по традиции ввести данные карты, после чего система якобы проанализирует все ваши транзакции и начислит компенсацию. Согласитесь, отличный ход в Новый Год, когда все ждут чудес.

Любопытно, что текст фейкового сайта частично взят с ресурса украинского подразделения французского банка Credit Agricole (credit-agricole.ua). Это лишний раз намекает, что не колл-центрами едиными живет киберпреступность сопредельного государства.
@In4security

Продолжаем рубрику «Ленивый новогодний фишинг».

На очереди сделанный 2 дня назад в онлайн-конструкторе сайт https://me-sbarbank.ru, на котором безо всяких условностей и прелюдий просят ввести данные карты и сумму списания. Ну а что, мамонт хочет платить, зачем ему мешать?

Если же заполнить формы и нажать на кнопку «Оплатить», сайт порадует вас фразой:

«Карта заблокирована! Или на ней недостаточно средств.
Попробуйте другую карту, а лучше тщательно проверяйте карточку на валид перед тем, как делать через нее списание.»

«Карта заблокирована! Или на ней недостаточно средств.
Попробуйте другую карту, а лучше тщательно проверяйте карточку на валид перед тем, как делать через нее списание.»

По факту же никакого списания не происходит, похоже, что владельцы ресурса собирают базу номеров и реквизитов банковских карт, или просто ещё не доделали сайт, пытаясь разобраться в конструкторе.
@In4security

Вчерашний день можно наречь «днем ПП», и это будет отнюдь не день столь модного сейчас правильного питания.

Все дело в том, что вчера в зоне .RU было разом зарегистрировано 28 доменов под два бренда: «Почта Банк» и «Промсвязьбанк» (https://pastebin.com/ajAmyekZ).

Перед новым годом «Почта Банк» предупреждал возможных мошеннических атаках под брендом банка в мессенджерах, похоже, та атака не окупилась и мошенники переключились на более проверенный способ - фишинговые сайты и рассылки.

Так что, если ваш новый год начинается с письма от любимого банка, проверьте, не ведет ли ссылка на один из вышеперечисленных доменов.
@In4security

Угоны игровых аккаунтов всегда в тренде, но в случае с фишинговым сайтом warbonus.ru все интереснее. Сначала вам расскажут о том, сколько замечательных предметов для Warface вы выиграли, а потом предложат ввести логин и пароль от учетной записи Mail.Ru чтобы их получить. Все другие опции залогиниться априори недоступны.

Итог: взломанный ящик электронной почты и все связанные с ним аккаунты, которые потом будут выставлены на продажу на одном из теневых форумов.
@In4security

Согласно статистике, порядка 80% подростков до 18 лет, имеющих учетные записи в социальных сетях, хотя бы раз сталкивались с их взломом или попыткой взлома.

В прошлом году мы зафиксировали более 2800 ресурсов, предназначенных для неправомерного получения логинов и паролей от страниц в VK. В этом году тенденция сохраняется.

При всей схожести сайты используют разные социотехнические сценарии воздействия на жертву. Например, https://vk-golosvanie.ru/ обещает призы за участие в голосовании, а https://vk-security.ru/ запугивает возможной попыткой взлома. Всего за последние 12 месяцев нами выявлено 37 типовых сценариев фишинговых атак на пользователей VK.
@In4security

Мошенники, продвигающие фейковую инвестиционную платформу «Газпром Инвестиции», не останавливаются на достигнутом. Тысяч сайтов с лозунгом «Россиянам разрешили торговать газом» им уже мало, поэтому 10 января они загрузили в Google Play фейковое приложение «Газпром Инвестиции», которое к настоящему моменту успело скачать уже более 5000 человек, а его рейтинг составляет 4,7!

Приложение размещено прекрасным издателем «Газпром Народаня Программа» (орфография сохранена). С этого же аккаунта в Google Play было загружено приложение Bitcoin Today.

Все это лишний раз доказывает, что даже в официальных маркетплейсах можно встретить откровенно вредоносные приложения.
@In4security

Сложно найти российский маркетплейс, на который еще не положили взгляд мошенники. О многих мы уже писали, о некоторых еще предстоит написать. Сегодня на повестке дня Wildberries.

С начала года в сети появилось порядка трех десятков доменов, большая часть которых используется или использовалась в целях фишинга. В ряде случаев используется хитрая система редиректов. Например совсем свежий домен wildberiess.ru (22.01.2022) редиректит сперва на riethropin.gq/help/&196016418226670, а потом на фишинговый сайт www.wildbberrilies.ru, действующий аж с 15 декабря 2021 года и представляющий собой полноценный клон Wildberries, практически неотличимый от оригинального маркетплейса.

Данная схема нужна для того, чтобы можно было безболезненно менять домены, переадресовывая потенциальных жертв на наиболее надежный и стабильный фишинговый сайт.

С учетом того, что сайт функционирует уже более месяца, а пик его активности пришелся на предновогодний период, можно лишь догадываться о том, какое количество людей стало его жертвами.

Прервем эту цепочку, отправив домены на блокировку.
@In4security

Фишинг обрел новое дыхание с развитием криминальных партнерских программ, предлагающих неопытным, но многочисленным молодым охотникам за удачей все необходимые инструменты для теневого «бизнеса». Пока воркеры заманивают людей на сайты-ловушки, хозяева партнерок наслаждаются жизнью, получая процент с каждой обманутой жертвы.

Подготовка к фишинговой атаке – один из самых важных этапов для мошенника, ведь чем более продумана твоя схема, тем дольше она просуществует, а время это деньги. Такую подготовку как правило можно заметить, но вот конечную цель понять возможно далеко не всегда. Например, вчера 7% от всех зарегистрированных доменов в зоне RU составили однотипные домены, состоящие из фиксированного количества рандомных букв и цифр: https://pastebin.com/dAv4iuwD.

Обычно такие технические домены регистрируют для редиректа трафика в середине цепочки SCAM-проектов, когда мошенники вкладывают деньги в точку входа (чаще всего это созвучные с целевым ресурсом домены, или домены, редирект на которые осуществляется с заранее оплаченной рекламы в поисковиках, соцсетях или у блогеров), и старательно защищают её от возможных «страйков», путем переадресации трафика на вредоносные ресурсы через цепь вот таких прокладок. Второй вариант – использование такого домена в качестве конечной точки, непосредственно фишингового сайта, на который пользователь попадет по уникальной ссылке либо через iframe, размещенный на другом ресурсе. Третий вариант – использование таких доменов для адресации командного центра ботнета.

В данном случае преждевременно говорить о том, станут ли эти домены частью новой волны рассылок с опросами за вознаграждение или проявят себя в процессе атак на пользователей интернет-магазинов или сервисов доставки еды, с фейковыми сайтами которых мы активно боролись в 2021 году. Время покажет. А пока мы передаем эту информацию нашим коллегам из антивирусных компаний, ведь основания для блокировки доменов на настоящий момент отсутствуют, но факт того, что они будут использоваться не для благих дел, выглядит вполне очевидным.
@In4security

Капитан Врунгель говорил: «Как вы яхту назовете, так она и поплывет!» В случае с авиакомпанией «Победа» это не сработало. Вчера на известном теневом форуме была выложена база, содержащая сведения о 2268 сотрудниках авиакомпании.

Согласно данным из объявления, база содержит сведения о ФИО, дате рождения, серии и номере паспорта, ИНН, а также сумме дохода за 2021 год. Теперь рядовые сотрудники смогут узнать не только размер зарплаты их начальников, но и то, кто сколько бонусов получил по итогам года.
@In4security

В последние 3 года мы фиксируем небывалую популярность фейковых лотерей. Только в 2021 году количество подобных ресурсов превысило 14 тысяч. В большинстве случаев злоумышленники используют цепочки редиректов, отдельные домены для сайтов, информирующих о розыгрыше и сайтов, выдающих себя за платежные системы. В процессе одной вредоносной рассылки с легкостью может быть задействовано до 6 различных доменов, вредоносный контент на которых доступен лишь по уникальной ссылке.

В 2022 году тенденция продолжается: более 70 доменов лишь за первые 20 дней нового года без учета сотен вспомогательных ресурсов.

Например, на сайте http://rosloto2022.ru/443789221df.php используется всего один домен, а http://GOSLOTO25.ru, переадресовывает пользователя через промежуточный URL https://do4line.cyou/9bb7 на конечный вредоносный ресурс https://sonic-reach.buzz/erugame. С учетом того, что конечный домен существует аж с 25 сентября 2021 года, работа по противодействию фейковым лотереям ведется не слишком активно.
@In4security

Количество новых регистрируемых доменов созвучных с официальным доменом портала Госуслуг падает с каждым днем. В последние недели такие домены не доходят даже до отметки 10 штук в день. И это несмотря на то, что пандемия пока совершенно не торопится заканчиваться. Тут есть два варианта: либо фантазия тех, кто регистрирует такие домены, иссякла, либо люди наконец начали понимать, что фейковые QR-коды не работают. Но разве это может остановить нашего человека, из страны непобедимых хакеров?

В середине декабря на некоторых даркнет-форумах появилась услуга по подбору QR-кода, максимально соответствующего данным заказчика, благо сделать это вполне реально, ведь открываемая по коду страница содержит лишь первые буквы ФИО, дату рождения и фрагмент номера паспорта. Вероятно, к тому времени база действующих QR-кодов была уже каким-то образом получена и проанализирована третьими лицами. Конечно, подобрать страницу, в которой будут совпадать не только первые буквы фамилии, имени и отчества, но также дата рождения и серия и номер паспорта проблематично, но ведь всегда можно сослаться на ошибку в системе или предъявить вместо паспорта другой документ.

Изначально за подбор QR-кода просили 4 000 рублей при условии совпадения даты рождения и 1000, если дата не совпадает. Однако вскоре автор объявлений создал сайт сайт ****usel.com (не будем его рекламировать), на котором подобрать подходящий сертификат можно уже совершенно бесплатно.

И вот похоже бизнес с QR-кодами приблизился к финалу. Сегодня на популярном даркнет-форуме появилось предложение продать всю базу реальных QR-кодов, содержащую 48 миллионов записей, за смешные по меркам услуги 100 000 долларов США (окупаемость 2 000 человек по 4 000 рублей). Пока что желающих перекупить модный стартап не нашлось.
@In4security

А вот так выглядит сайт по подбору сертификатов и выдаваемые им данные.
@In4security