in2security

Сегодня посмотрим на отличительные признаки фишинговых сайтов, которые стоит учесть перед вводом своих данных на нем. И как всегда продемонстрируем это на свежем и пока еще живом примере - на этот раз хорошо (ну почти) скопированном сайте "Сберспасибо": https://sberbank-bonus.ru/ 1 триггер - отсутствие согласия на обработку файлов Cookie, мошенникам он просто не нужен. 2 триггер - отсутствие альтернативных способов входа, так как мошенникам нужен именно телефон или логин, ну и код который позже придет в смс. 3 триггер - после ввода номера телефона, система должна проверить, есть ли вы среди зарегистрированных участников, мошенники же проглотят любой номер. Поэтому простой совет: если есть сомнения - введите номер которого скорей всего нет в системе и посмотрите на реакцию сайта. P.S. С днем банковского работника!

Для ревнивых жен наступил праздник. В сеть попали базы сразу двух ювелирных сетей: UVI.RU и такого гиганта, как «Адамас» Утечка Adamas представляет собой 4 JSON-файл общим объемом 9 гигабайт. Файлы содержат сведения о сотрудниках, курьерах, покупателях и сделанных ими заказах. Общий объем информации исчисляется десятками миллионов строк. База UVI куда скромнее, всего 53 тысяч пользователей, зато она включает пароли и сведения о заказах, кроме того, в руках злоумышленника оказались API-запросы с открытыми паролями и архив внутренней почты компании, который автор объявления обещает в скором времени выложить. В общем теперь любая компьютерно подкованная жена может задать своему мужу вопрос: а для кого это ты колечко покупал в июле 2022?

В продолжение сегодняшней истории из предыдущего поста. Наш подписчик не поленился оформить заказ и обнаружил настоящее гнездо скама. Он провалится на страницу на сайте https://supermarkts.ru/, у которого тоже нет корневого индекса и на котором находится порядка сотни папок и подпапок с подобными фейковыми магазинами. Формально все это размещается в рамках рекламной партнерской сети по модели CPA (Cost per Action). По факту же мы видим, что данные продавцов являются откровенным фейком и таким ресурсам доверять точно не стоит. Данная схема активно распространяется на некоторых околотеневых форумах в качестве варианта легкого заработка, но давайте посмотрим правде в глаза, если эта схема не черная и покупателю реально хоть что-то присылают, то она как минимум серая. Ну и конечно же не стоит забывать о том, что подобные магазины нередко обслуживаются нелегальными платежными шлюзами, которые переводят деньги наивных покупателей в крипту и отправляют их владельцам сети, так что концы будет найти непросто. Если вы хотите узнать все нюансы работы подобных «магазинов», оставляйте комментарии и мы напишем развернутый пост.

Настало время интересных историй про тень Черной пятницы! На домене dnssale.ru кто-то не поднял индекс, зато сделал папочки и разместил в них типовые ресурсы по продаже всякой ерунды. В качестве ерунды выступают: Мужские сумки на двух разных шаблонах сайтов. Нож в подарок! Мощный поисковый фонарь. Опять же нож в подарок. Мультитул Leatherman на двух разных шаблонах. В подарок нож или часы. Таймеры на сайтах зациклены, цен нет, а для заказа надо оставить персональные данные. На всех 5 страницах указаны данные разных компаний, вот только они либо ликвидированы, либо не соответствуют видам деятельности и обладают низким рейтингом благонадежности. Причем же тут домен DNS? Ну а что домену пропадать, пусть хоть так поработает. Хотя в последние месяцы количество фишинга под DNS стабильно высокое, а фейковые сайты, замаскированные под этот гипермаркет электроники мы встречаем практически ежедневно.

Мы много писали про фейковые банки. Настолько много, что в какой-то момент даже устали от этой темы. Но тут забавный случай – сделанный в Tilda сайт «Ген-Пром Банка»: https://genprom-bank.ru. Мало того, что такого банка не существует, так и реквизиты взяты от другой кредитной организации – МКБ. Ну а в остальном – типичный сайт фейкового банка, призванный пускать пыль в глаза. Ипотека для IT-специалиста за 4.7% годовых? Пожалуйста. Сельская ипотека – 3%. Словно из параллельной вселенной. Да что уж тут говорить, если в качестве руководителя отдела маркетинга используется фотография хорватской певицы участницы Евровидения Франки Бателич (фото которой еще почему-то любят использовать на узбекском Wildberries для рекламы рубашек). Руководитель СБ – это не кто иной, как Харви Спектер из сериала «Форс-Мажоры». Ну а ведущий кредитный специалист фигурирует в фотобанках под именем «фото молодого успешного мужчины». Отдельный вид искусства – это кредитный договор (не поленитесь, почитайте сами: https://genprom-bank.ru/page30433219.html). Он один на все услуги и речь там идет о целевом кредитовании малого бизнеса. Ну и адрес: конечно же Москва-Сити, как же иначе. Расписывать всю схему мошенничества тут достаточно долго. Если коротко, то после оставления заявки на кредит с жертвой связывается «менеджер» и предлагает оплатить страховку и так далее. Вот вам живой пример из СМИ: https://magadanmedia.ru/news/1258377/. Кстати, фото и имена сотрудников приведены не просто так. Если жертва засомневается, что разговаривает с «настоящим» сотрудником банка, всегда можно отправить её на сайт. Ну а наличие аж двух представителей службы безопасности намекает нам на то, что разводы по типу «выявлена сомнительная операция, срочно переведите деньги на защищенный счет» этими ребятами тоже вполне могут практиковаться.

Куда деваются деньги в кризис? Может быть, они обесцениваются? Может цены растут? Может обанкротившиеся предприятия передают свои активы кредиторам? Да ладно вам, что вы такие наивные, как будто учебник экономики проглотили. На самом деле все иначе. Все деньги, которые теряют люди и организации на фоне кризиса просто… Именно такую риторику ведут представители очередного не имеющего аналогов проекта, обещающего озолотить всех своих участников. Ну а мы разбираемся, кто стоит за этим гениальным стартапом, и почему участвовать в нем однозначно не стоит: https://telegra.ph/Mir-idealnogo-krizisa-11-23

На днях мы обнаружили сделанный на Tilda сайт http://blackfriday-promokod.ru, предлагающий приобрести промокоды популярных маркетплейсов, включая Ebay, на котором жителю России купить сейчас что-либо весьма проблематично. Кнопка на сайте ведет на telegram-бота. Только вот бот в основном занимается рекламной чернушных проектов, выдавая ссылки на канал «Обучение кардингу» и прочую подобную ерунду. Из всего изобилия скидок бот предлагает разве что купоны OZON на скидку в 50% (уже смешно), при этом в тексте объявления скидка возрастает аж до 70%. И такая радость всего за 300 рублей… Внутренняя жаба говорит, что надо брать! Но нет, приобрести купоны все равно не удастся: форма оплаты банально не прикручена. Что мы имеем по факту: недоделанная скам-схема, завлекающая людей нереальными скидками и ограниченным сроком действия спецпредложения. Ну а сопутствующая реклама говорит нам, что основной аудиторией является молодежь, слабо разбирающаяся в IT, зато жаждущая легких денег.

И снова в эфире рубрика «ленивые мошенники». Разбираем свежий фейковый сайт по продаже билетов на мероприятия https://afisha-etoile.ru и его зеркало https://afishaetoile.ru, созданные в рамках схемы Dating scam, о которой мы неоднократно писали. В целом все как обычно: иконка от Афиши, достаточно распространенный шаблон, но есть одна деталь. В футере висит предупреждение о том, что согласно постановлению КМУ №211 от 11 марта 2020 года в России на период карантина нельзя покупать билеты в живых кассах. Ловим первый facepalm, ведь карантин давно закончился. Но подождите, а что такое КМУ? Ой, да это же Кабинет Министров Украины! Гуглим номер постановления и… оно реально существует: https://ips.ligazakon.net/document/KP200211. Второй раз прикладываем руку к лицу. Ну и наконец третий facepalm. Открываем раздел «О нас» и узнаем, что сайт подключен к сервису продажи билетов Maestro Ticket System. Все бы ничего, но это исключительно украинская система.

Мы уже не первый раз встречаем фейковые сайты, посвященные сбору средств для бойцов. Мошенничества на фоне благотворительности тема вообще весьма обширная и прибыльная: скопировал чужой сайт, прикрутил кошелек и деньги капают. Именно по этой причине, например, по соцсетям и мессенджерам гуляют тысячи объявлений о помощи больным детям, в которых изменен номер карты. А вот сайт https://pobeda-onf.ru эксплуатирует актуальную повесточку. Выглядит он весьма достоверно, так как почти подчистую скопирован с оригинального ресурса, а вот из способов оплаты пожертвования остался только один – перевод денег физлицу через Yoomoney. Ну а это самое физлицо просто сидит и получает пассивный доход, причем не только с этого сайта, но и с его родственника https://помоги-своим.рф, который притаился на том же IP-адресе.

Сегодня мир ИБ потрясло страшное известие. Группировка Ukrainian Cyber Alliance взломала сайт российского цирка и выложила данные 4.5 тысяч пользователей сайта, включающие ник, адрес электронной почты и хэш пароля. Есть лишь одна проблема. Это не сайт цирка, а просто какой-то полумертвый сайт цирковой тематики, застрявший в шаблоне 20-летней давности, на котором в футере разместили рекламу онлайн-казино. Отличная причина напомнить, что если ваш сайт висит в сети два десятилетия и никому не нужен, его все равно стоит обновлять!

Приятно смотреть как создается что-то новое и фактически онлайн. Как пример - посмотрим на подготовку фишинговой страницы в отношение клиентов «Почта Банк». Пока кривенько, да и ссылки на официальный ресурс не заменены на фишинговые, но с чего-то надо начинать. Если конечно успеет до момента блокирования ресурса. Вполне вероятно, что скамер правит шаблон своего личного кабинета, поэтому сотрудникам СБ банка не составит особого труда вычислить героя.

В открытый доступ выложили дамп сервиса Yappy общим объемом порядка гигабайта. Дамп состоит из 4 файлов, объем утекших данных – примерно 2 миллиона строк. Файлы содержат: идентификатор пользователя, телефон, дата рождения, хэш пароля, сведения об устройстве, с которого осуществлялся вход, типе соединения, а также масса служебных данных, в том числе сведения о связанных аккаунтах. Последние записи в базе датированы июлем 2022 года.

Расчет на невнимательность/незнание новичков основа мошенничества, тем более в Интернете. Человек может быть профи в продажах металлических труб, знает все мелочи, но совсем не понимает "в этих ваших Интернетах", а тем более стоимость продления домена или хостинга. На таких людей и рассчитана новая волна мошенничества - схема достаточно примитивна, но обычно они самые рабочие. Скамер регистрирует домен схожий с вашим, но добавляет в название www - например wwwdomen.ru и отправляет на контактные адреса взятые с вашего же сайта, письмо от регистратора с просьбой срочно оплатить продление "вашего" домена указывая его в сообщение. Дальше все как всегда - оплата на карту физическому лицу (дропу). Все домены ведут в одно место - пока живое, но уже отправленное на блокировку https://rgergervwe.ru/a43.php

У вас нет на счете 5 тысяч рублей? Простите, но вы нищеброд и мошенникам вы не интересны. Рассматриваем очередную схему с фейковыми выплатами на примере новой фишинговой кампании: https://telegra.ph/Vyplaty-ne-dlya-bednyh-11-04

Сегодня у нас на повестке дня любопытный фейковый сайт некоего «Фонда национального благосостояния»: https://фонд-нд.рф/. Сайт склепан в конструкторе Tilda, логотип фонда честно украден в сети и используется на десятках ресурсов различной тематики, наименование ООО "Фонд Национального Достояния" отсутствует в ЕГРЮЛ… Но это еще не все. Контактный телефон +7(999)8258888 взят из объявлений о продаже недвижимости в Москва-Сити, офис якобы находится в башне «Империя», а в качестве ИНН и ОГРН Фонда указаны идентификаторы ЗАО «Башня Федерация». В качестве президента фонда на сайте указан Смирнов М.Ю. – гендиректор ЗАО «Башня Федерация». Форма пожертвования пока не работает, так что проверить, куда перечисляются деньги пока не представляется возможным, но мы будем следить за ситуацией. И помните: не все благотворительные фонды одинаково полезны. Всегда проверяйте информацию.

Любопытный пример фейкового работодателя. Ссылка из фишингового письма https://jobsonline.page.link/jfPk ведет нас через сайт-прокладку на ресурс https://rabota.nalog.ru.com/news.php?link=https%3A%2F%2Frabota.nalog.ru.com%2Fjob%2F%3Fcid%3Df5df43d7-77f6-494e-a1aa-2e3b175e8630%26redirect%3Dhttps%253A%252F%252F440b6471.yhipym.pw%252Fclick%252Ff5df43d7-77f6-494e-a1aa-2e3b175e8630%26p%3D490#v21Dhsd1gR. Кстати, еще вчера вместо домена rabota.nalog.ru.com использовался домен: rabota.headhunter24.ru.com – прекрасный пример того, как использование промежуточных доменов обеспечивает стабильность схемы и продлевает жизнь фишинговой рассылке. Сайт интересен тем, что на нем есть целый симулятор удаленной работы. Польстившимся на легкий заработок предлагается копипастить данные из верхнего окна в форму ниже и получать за это деньги. Ну а далее все стандартно: «активируйте аккаунт или не получите денег».

Обычно сайты с фейковыми выплатами ориентированы на жителей России, чуть реже Белоруссии и Казахстана, но сегодня у нас редкий гость: скам-проект под украинскую аудиторию. Сайт сделан на типовом шаблоне «Единого компенсационного центра», в качестве контактных данных указан email: abuse.supp0rt.mail@gmail.com, который фигурировал на тысячах различных сайтов мошенников, начиная от выплат и заканчивая фейковыми биржами и трудоустройством. Мы много раз писали о сайтах, входящих в эту сеть В этой истории забавно то, что в случае схемы с фейковыми выплатами почти всегда прослеживался украинский след, так что же поменялось теперь? Ведь «работать» по своим согражданам это «не комильфо». А факт регистрации домена через американскую компанию и использование зарубежного хостинга не вписывается в типичный почерк российских мошенников образца 2022 года.

Про военные компенсации жителям России мы писали не раз, но подобные схемы мошенничеств ориентированы и на граждан других государств. Сегодня расскажем про сайт https://rb-gos.top/, обещающий выплаты гражданам Республики Беларусь. Сайт основан на шаблоне, скопированном с официального сайта Министерства иностранных дел Республики Беларусь. Впрочем, его отличает феерическая лень создателей, которые не удосужились даже написать тексты фейковых документов – ссылки на них ведут на главную страницу сайта. Не работают и ссылки из меню фейкового сайта. Если кто-то захочет получить выплату, его ждет стандартный путь: ФИО, телефон и электронная почта, данные банковской карты.

Любопытный пример использования сервиса для создания опросов «Марквиз» в целях обмана наивных граждан или представителей организаций: https://mrqz.me/6294a2abe94dc20041dfa28c. Шаг первый: вы вводите наименование юрлица для того, чтобы проверить его через несуществующий «Портал судебных дел» на предмет обнаружения мошеннических операций. Шаг второй: вы узнаете, что организация находится в несуществующем черном списке Международного реестра, после чего вам предлагается скачать чек-лист с «алгоритмом самостоятельного возврата средств». Шаг третий: вы оставляете свое имя и номер телефона. Вполне очевидно, что данный ресурс используется не сам по себе, а как часть более глобальной схемы, задействующей в том числе социальную инженерию и/или спам-рассылки. Ну а заголовок «Служба по борьбе с мошенничеством г. Москва и обл.» говорит нам о том, что данная «служба» борется с мошенничествами так же, как пчелы с мёдом. Если вы знаете подробности данной схемы, делитесь в комментариях.

Сегодня мы увидели информацию о том, что наши коллеги из мира ИБ обнаружили новый фишинговый сайт, который предлагал россиянам приобрести «отсрочку от призыва». В сообщении говорилось о том, что вредоносный сайт уже заблокирован, но мошенники могут запустить новую версию с другим адресом. На опубликованном скриншоте адрес сайта был замазан, но это неважно, ведь мы уже полтора месяца отслеживаем и блокируем подобные ресурсы, так что описываемый сайт был лишь одним из многих. Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры: https://aqzmk.hazylyx.cfd/ https://rkuvx.huganag.cfd/ https://niw2v.hazylyx.cfd/ https://civoh.huganag.cfd/ https://dwij7.hazylyx.cfd/ Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена. Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации. Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву! Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку. К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку: 1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/ 2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php 3. Компенсационные центры: https://1yjl9.hywyhah.cfd/ 4. И многое другое…