in2security

Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки. Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru. Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.

В такой прекрасный весенний день не грех выйти из зимней спячки и написать о том, что злоумышленники стали использовать образ трэш-стримера Мелстроя для раскрутки очередной итерации скам-схемы с коробочками. Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает. Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.

Сегодня мы обнаружили 4 новых фишинговых сайта, эксплуатирующих бренд волонтерского движения «Мы вместе»: http://gosvyplatyvmeste.ru/ https://rosfinpodderzhka.ru/ https://helpinghope.ru/ https://helpourpeople.ru/ Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС. Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов. Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает. После недолгого изучения ресурсы были отправлены на блокировку.

Мошенники стали пугать российские организации проверкой ФСБ В нашем распоряжении оказалась целая пачка писем, направленных в адрес различных компаний от имени УФСБ России по г. Москве и Московской области. На первый взгляд письма выглядят грозно: в них сообщается о проведении внеплановой проверки, по итогам которой было принято решение о возбуждении уголовного дела по признакам состава преступления, предусмотренного ст. 275 УК РФ, а этот не много ни мало – госизмена! Однако дьявол кроется в деталях. Несмотря на то, что изученные нами письма имеют различия, например, отличаются фамилии и звания подписавших их инспекторов, слегка меняется форматирование и количество ошибок (что может говорить о том, что их не просто копипастят, а набивают вручную), в целом такое письмо, если рассмотреть его повнимательнее, представляет собой ад для делопроизводителя-перфекциониста. 1. Поля. Они откровенно не по ГОСТу. Видите такие поля в документе, скорее всего он имеет мало отношения к реальности. 2. Форматирование… должно быть по ширине, если что. 3. «тся» и «ться»… Вспоминается мем «Требуется уборщится». 4. Уголовное дело в отношении юр.лица? Это какое то новшество! 5. Ссылка на закон «О государственной тайне», к которой организация-получатель не имеет никакого отношения. 6. Документ подписан посредством некоего «зашифрованного канала связи»! 7. …. 8. Profit! Ну а если честно, то одного взгляда на письмо достаточно для того, чтобы понять, что его писал человек, ни дня не занимавшийся делопроизводством в какой-нибудь госструктуре, даже не ФСБ. Миллион ошибок, несвязный текст, неправильное написание наименований нормативных актов… Ошибок тут бесконечное количество. Но расчет делается на то, что 3 магические буквы Ф, С и Б отключат у получателя критическое мышление… Если получили подобный документ, смело отправляйте его в мусорку.

Мошенники с маркетплейсов стали использовать Систему быстрых платежей для кражи денег у желающих купить новогодние подарки со скидкой Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы! В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества. Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара. Во вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо? Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги. В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".

А вот и практическое применение доменов для угона аккаунтов телеграм. Хочу обратить внимание на собачку в имени хоста, достаточно новая фишечка. Видимо, те же ребята, что и в этом посте. Ну и бонусом еще немного их доменов: cancel-action[.ru cancel-action[.online action-confirm[.ru action-confirm[.site action-cancel[.ru export-cancel[.ru confirm-action[.ru За картинку спасибо Политджойстик

Timeweb удваивает выплаты за найденные баги Пока на улице стремительно холодает, багхантеры заваривают чашечку любимого чая или кофе и сурово идут искать уязвимости на BI.ZONE Bug Bounty. И не просто так, а потому что с 23 ноября по 24 декабря Timeweb удваивает выплаты. Их можно получить за находку уровня high и critical в любых продуктах компании, которые доступны для исследования. Максимальное вознаграждение — 500 000 рублей. Успейте сдать отчет и получить двойное баунти!

В свежей пачке доменов в зоне .РФ обнаружился вот такой любопытный ресурс: «бабушка-ясновидящая24.рф». Бабушка Ефросинья отличается высокой продуктивностью (помогла более 50 тысячам людей) и нежеланием светить свои контакты – связаться с ней напрямую невозможно, можно лишь использовать форму обратной связи или заполнить анкету, в которой требуется изложить суть проблемы и оставить свои персональные данные. Но есть у бабушки Ефросиньи свой маленький секрет… она еще и дедушка. Если взять строку из отзыва с сайта бабушки и вставить ее в поисковик, обнаруживается принадлежащий тому же владельцу сайт-двойник «маг-ясновидящий.рф», в заголовке которого написано: «Эрнест – потомственный ясновидящий, экстрасенс». Магия, да и только!

Отличный свежий пример кражи доступов в ЛК сразу четырех банков. Сайты-близнецы https://info-sber24.ru/ и https://tvou-credctva-online.ru/ предлагают скромный бонус в размере 3000 рублей, для получения которого нужно ввести ФИО, номер телефона, номер карты, а потом и код из СМС. Классическая схема: данные улетают в Telegram-бот и передаются биороботу, который пытается сбросить пароль для доступа в личный кабинет, а потом, если повезет, привязать к ЛК новый номер. Сайты работают в связке с другими ресурсами или фишинговыми письмами, через которые производится первичная обработка жертвы. Зачем создавать отдельные сайты под разные банки, если можно на домене со словом SBER поднять фишинговые формы сразу под 4 банка! Мы уже не раз писали о том, что в банковском фишинге сейчас наблюдается тенденция к отходу от кражи фиксированной суммы через интернет-эквайринг. В последние полтора-два года акцент сместился именно на кражу доступа к ЛК, что куда более опасно для пользователей. А простые социотехнические приемы и использование болванчиков-биороботов, которые мнят себя ассами криминального мира, позволяет обойти даже двухфакторку. В общем, киберпанк, который мы заслужили. Сайты отправлены на блокировку…

Сезонные мошенники Отдельная категория мошенников, которые создают фишинговые сайты под какие-то сезонные события, а что может более сезонное, чем замена летних шин. В качестве примера выступит созданный неделю назад сайт tires-by-ozon.ru, где для большей привлекательности используют популярные сейчас слова - Озон, Шины, бесплатная доставка по России. На что стоит обратить внимание: 1 - отсутствие самовывоза 2 - контакты в виде мобильного телефона и почты на @proton.me 3 - принуждение клиента к оплате с карты Озон и ВТБ (видимо уже есть подготовленные фейковые платежные системы - на что намекает и условия предоплаты "только через площадку Озон") 4 - ну и для понимания локализации группировки - стоит посмотреть описание, которое с небольшими изменениями скопировано с Киевского сайта https://rezina.ua/o-nas/

Очередной пример прикладного инструмента телефонных мошенников. Сайт vtb-62967.ru служит для того, чтобы внедрить на Android-смартфон жертвы RAT-троян, а если точнее – слегка видоизмененную программу для удаленного администрирования, которая в дальнейшем поможет злодеям перехватить управление над телефоном со всеми вытекающими последствиями. Вот здесь вы можете послушать запись диалога с мошенником, в котором он как раз предлагает установить «приложение технической поддержки», правда другого банка. Владелец домена упорно создает фейковые ресурсы под ВТБ. В его копилке их уже более 20. Также пару раз встречаются домены, заточенные под другие банки, и домены формата id-*****.ru, используемые в схемах обмана на маркетплейсах и смежных сценариях. Отправляем сайт на блокировку и желаем вам хорошей пятницы!

Теневое правительство существует Многие энтузиасты искали доказательства существования теневого правительства и вот рептилоиды совершили ошибку и теперь мы знаем все. Поспособствовал этому...отставной генерал, секретный ученый... ведущий мероприятий Игорь Лычев. Именно он, на своей новом сайте школы постановки голоса короля https://goloskorolj.ru/ (видимо попытка забрать чуть славы у фильма с 4 "Оскарами" "Король говорит" 2010 года.) раскрыл реальных кандидатов в президенты России, которые до этого моменты были засекречены. Но простое копирование URL-ссылки данной фотографии раскрывает истинное лицо кандидатов... модели... Да, красота правит миром! Если вы все еще не верите, что ведущий Лычев мог был допущен к тайне такого уровня - посмотрите на другие его фотографии. Кто может закрыть собой Путина на награждение Жириновского? Кто может провести Канский фестиваль... какой-то секретный, для своих. Кто еще может смотреть Горбачеву на родинку, а не в глаза во время рукопожатия?

В последний год фишинговые схемы редко отличаются разнообразием или новизной: все эксплуатируют годами отработанные сценарии, изредка слегка меняя дизайн или информационную обертку. Вот и новый фишинговый сайт antispam-mail.ru не может похвастаться ничем интересным кроме домена, намекающего на то, что жертве будут предлагать отписаться от спама или что-то подобное. Шаблон скопирован с оригинальной страницы авторизации, все кнопки, не имеющие отношения к главной задаче сайта, получению пароля, просто банально не работают. У жертвы последовательно выведывают адрес, пароль и номер телефона, после чего перебрасывают на официальную страницу с пользовательским соглашением почтового сервиса. В отличие от многих аналогичных фишинговых сайтов последнего времени здесь нет даже попыток обойти двухфакторную аутентификацию. А уровень исполнения говорит о том, что за фишинговым ресурсом скорее всего стоит не команда профессионалов криминального бизнеса, а злоумышленник-одиночка.