in2security

В наши сети иногда попадается любопытный улов. Вот, например, 4 сайта, которые принадлежат одному человеку и имитируют страницы разных форумов: Жкдоверие.рф Закумский.рф Обэп29.рф Dunserv.ru Дискуссии на форумах абсолютно идентичны, а ссылка в сообщении ведет на… фейковый сайт знакомств, который мимоходом собирает телефоны, адреса электронной почты, имена и пароли незадачливых посетителей.

Как вы думаете, какой контент может быть у сайтов с доменами: c-kad.ru avt-odor.ru cka-d.ru a-vtodor.ru Логично было бы предположить, что мы столкнемся с уже ставшем классикой мошенничеством на тему оплаты проезда по ЦКАД и другим платным дорогам. Но в наши дни фейковые сайты быстро меняют контент и зачастую домены, зарегистрированные под один бренд, на практике используются совсем под другой. Вот так и в этом случае: 3 домена из 4 в настоящее время задействованы для адресации фейковых сайтов по продаже авиабилетов. Сайты эти ничем не примечательны. Мы хорошо знакомы с этим фишинговым китом и не раз писали о нем. Вместо интернет-эквайринга на них используется ставший уже традиционным механизм угона доступа в личный кабинет онлайн-банкинга. Если открыть исходный код страницы и пробежаться по скрипту, механизм кражи аккаунта становится предельно понятен. Зато четвертый домен - a-vtodor.ru – демонстрирует нам нечто новое. На нем висит клон страницы ООО «Единый оператор» в VK, вернее не совсем клон – контент берется из официального сообщества. Наиболее очевидное применение такого явления – прикрытие фишинговых страниц, которые доступны по уникальным ссылкам.

Злоумышленники продолжают атаковать сайты региональных медцентров. Сегодня в сеть выложили SQL-дамп, предположительно имеющий отношение к махачкалинскому медцентру DOW Clinic. Файл dow-clinic.sql размером 41 мегабайт содержит всю внутреннюю кухню сайта, включая публичный контент и сервисную информацию, такую как напоминания о посещения врача или уведомления о записи. Имена и должности врачей соответствуют именам, указанным на сайте: https://dow-clinic.ru. В то же время анализ файла показывает, что он не содержит какой-либо критической информации, затрагивающей пациентов. Максимум записи в формате: «ИМЯ ОТЧЕСТВО Ф. ЗАПИСАЛСЯ К ВРАЧУ». Актуальность данных – 24 июня 2023 года.

Сегодня хакеры, которые ранее сообщали о взломе Университета Синергия, выложили остальные обещанные файлы. Интерес из которых может представлять только proftest_users - содержащий почти 700.000 контактных данных (имя, email и телефон) целевой аудитории. Но кого сейчас этим удивишь...

Вчера злоумышленники выложили ролик, в котором, согласно описанию, показан процесс взлома приморского банка «Примсоцбанк», пообещав вскоре поделиться полученными данными, и не обманули. Сегодня в сети были размещены два файла logcard.txt и pskb_user.sql. Первый содержит 7335 клиентских заявок за период с 16 февраля 2021 по 21 июня 2023 года. Второй – 91 124 строки в формате ФИО, дата рождения, электронная почта, адрес, телефон, паспортные данные, хэш пароля. Уникальных адресов электронной почты: 8772, из них 269 в домене pskb.com. Актуальность данных: 29 декабря 2022 года. По словам злоумышленников, после вчерашней атаки сайт был восстановлен и… был атакован снова тем же методом, в результате чего опять ушел в оффлайн. На момент публикации сайт pskb.com недоступен.

Немного позитивного настроения в пятницу. Китайские попытки косить под известные бренды давно известны, но раньше это было на уровне вещей, то сейчас переходит на онлайн торговлю. Однако российских пользователей спасает одно - китайцам достаточно сложно правильно перевести контент - в связи с чем встречаются интересные попытки мошенничества, однако реализация задуманного не дает даже малейшего шанса получить хоть какой-то профит от потенциальных жертв. Ну действительно, кто захочет покупать в "очковой зоне" брюки в виде часов кусками на таких сайтах https://www.aviaparks.com (зеркало https://aviapark.org) или https://ottovip.top Ждем ваши интересные находки в комментариях.

Не прошло и суток, а хакеры готовят новый слив платежных данных пользователей, на этот раз они утверждают, что готовы слить 90.000 строк сети магазинов спортивного питания SPORTFOOD. Как видно из скрина - сегодня хакеры разместили предложение о выкупе базы на самом сайте компании. Пойдет руководство SPORTFOOD на сделку с хакерами или нет - время покажет. P.S. не договорились, база в открытом доступе

Сегодня очередной жертвой утечки данных, по утверждению хакеров, стал модный маркетплейс-VK-коммунити themarket.io Несмотря на лозунг "безопасная сделка для защищенной покупки" забота о самих пользователях оказалась не на высоте со стороны пермских иДНивидуальных предпринимателей Марины и Миши. Во всяком случае хакеры утверждают именно это и прикладывают БД с заказами (73 814 шт.), БД пользователей (259 958 шт.) и БД с данными о оплате (74 850 шт.). Актуальность 01.06.2017-06.06.2023. Вместе с историей покупок утекли и более критические данные - ФИО, контакты, адреса доставки, первые и последние цифры банковских карт.