in2security

Сегодняшнее утро началось с того, что в канале одной весьма активной в последнее время хакерской группы выложили файл, который, согласно описанию, представляет собой базу данных соискателей работы в сети «Вкусно и точка» (https://rabotaitochka.ru). База содержит 295 914 строк. Формат данных: ФИО, возраст, гражданство, телефон, вакансия, место работы, статус работы, результат прохождения теста для соискателей и прочую служебную информацию. База охватывает временной промежуток с 1 января 2018 по 25 мая 2023 года.

На продажу выставлена база данных, которая, согласно описанию, была выкачана с сервиса по консультациям студенческих работ – work5.ru. Цена вопроса – 500 USD. База состоит из двух частей. Первая, Members, представляет собой список пользователей и содержит: ФИО, email, телефон, даты регистрации и последнего логина, а также большой перечень сведений об учебе и месте жительства. Объем – 1 000 000 строк. Вторая, Message, судя по всему, представляет собой архив переписки со службой поддержки. Тут строк еще больше – 8 257 000. В качестве подтверждения выложены два небольших семпла на 37 и 40 строк соответственно. Выборки данных в семплах датируются 2019 и 2022 годами.

2 дня назад на доменную зону .RU напал AI и GPT... ведь именно такое мнение складывалось от одновременно зарегистрированных 120 доменов, использующие в наименование популярный бренд + ai\gpt Аналитики встали в охотничью стойку, в ожидание новой мошеннической схемы с искусственным интелектом, но WHOIS разочаровал - владелец доменов Нижегородская АО «Финтех», созданная в 2022 году директором Алексеем Костиным. Кстати, ранее он владел компанией ООО "ОК", но она была закрыта в 2018 году после проигрыша в суде как третье лицо - видимо за создание и продвижение сайта нелегально использующего товарный знак истца "INTERMODA", хотя писали про себя - что создают и развивают стартап-проекты...к успеху шли... Что Костин задумал делать с новыми доменами использующие все самые популярные бренды и модный сейчас GPT - таки будем посмотреть...

Пока безопасники гуляют на PHDays, злоумышленники устраивают свой собственный Standoff и зарабатывают очки. Сперва появилась информация об атаке на сеть медцентров «Ситилаб», в результате которой, как заявляют хакеры, удалось похитить 14 терабайт внутренних данных. Пока же в сеть был выложен архив на 1.7 гигабайта, который содержит 1000 PDF-файлов: договоры, сканы паспортов, чеки, маркетинговые материалы и прочие сведения. Злоумышленники по ставшей уже традиционной схеме требуют выкуп и грозятся выложить весь массив данных. Досталось и инфобезу. Второй инцидент, согласно публикации в одном их хакерских каналов, затронул компанию «ИнфоТекс». Размещенная база клиентов в формате ФИО, email, телефон, должность, логин и хэш пароля содержит 60 946 строк, в том числе 60 901 уникальный email (3093 почты в домене infotecs.ru) и 7 614 уникальных телефонов. Данные охватывают период с 04.11.2016 по 24.04.2023.

Это frame-up или это паранойя... Выявить масштабную провокацию на ранней стадии - очень сложно, но попробуем. Ведь нужно обратить внимание на некоторые мелочи, которые как-бы выбиваются из общего фона. Возьмем для примера вчерашний сайт https://sdelaysvoyvibor.ru/ - на первый взгляд все нормально, Московская школа 1370 запустила проект для детей, наполовину сделан сайт из шаблона... но смущает счетчик обратного времени - который истекает 10.09.2023 в Единый день голосования, а также опубликованный план - общий сбор на площади родителей и детей с автобусами и это скорей всего будет под лозунгами проекта "сделай свой выбор". На сайте школы информации нет, email не существует, телефон не доступен... Выводы делать конечно рано, но время покажет...

В общий доступ выложили базу, согласно описанию принадлежащую риэлторскому агентству «БЕСТ-Недвижимость». Архив содержит данные клиентов (ФИО, почта, телефон, сведения о недвижимости) с комментариями, касающимися продажи-покупки жилья. Уникальных почт – 1271, актуальность данных – 3 мая 2023 года. Но это еще не все. В довесок к файлу хакеры разместили еще и админские пароли для доступа к ресурсу. Впрочем, такая тактика нередко используется для заметания следов: не очень умные люди ломанутся на сайт, засветятся в логах, а данные настоящих злоумышленников затеряются в информационном шуме.

А основным лидогенератором похоже является сайт sravni.ru - на заказы через этого агрегатора приходится 183 тысячи записей - 18% от общего числа.

В сеть выложили файл, который, согласно описанию, содержит данные клиентов «Альфастрахования». Размещенный файл содержит 1 миллион строк, в том числе 971 724 уникальных адреса электронной почты, 532 348 уникальных телефонов. Актуальность – 19 апреля 2023 года. По словам злоумышленников, им удалось получить базу общим объемом 14 миллионов строк. Структура данных: ФИО, дата рождения, email, телефон, хэш пароля.

В начале марта мы писали про создателя фишинговых сайтов и по совместительству любителя аниме Валерона из г. Чебоксары. На тот момент в его копилке было 63 домена. Вы думаете, что он осознал свою неправоту и успокоился? Ничуть! На волне славы и бесплатной рекламы он наплодил еще 46 доменов за 57 дней. И если 2 месяца назад его любимым банком был ВТБ, то потом он переметнулся на РНКБ, а теперь наконец он обратил взор на Сбер. Сайт sberbank-akcia.ru прожил короткие, но необычайно яркие несколько часов в попытках выведать логин, пароль и номер карты клиентов Сбербанка. Валерон верен своим традициям, поэтому шаблон фишинговой страницы перекочевал напрямую из схемы с ВТБ вплоть до комментария о том, что на карте должно быть не менее 5 тысяч рублей, а SSL-сертификат так же, как и в прошлый раз был начисто проигнорирован. Только хардкор, только http на странице авторизации банка. Ну а нам остается лишь позавидовать бесстрашию этого давно сдеаноненного чебоксарского парня, с каждым новым доменом прибавляющим себе дополнительный эпизод в папочку товарища майора!

Похоже, что отправлять чат-ботов в разведку пока рановато. Фейковый Telegram-бот, якобы GigaChat от Сбера, сперва выдал заученную фразу о том, что он создан командой российских ученых, но быстро раскололся и начал рассыпаться в извинениях, мол его заставили, а на самом деле он основан на GPT-3 от OpenAI.

За последние полгода произошел целый ряд инцидентов, затрагивающих 1С. Сперва «досталось» серверу Bitrix24, потом сервису 1С:Урок, а сегодня в дарке появилось сообщение о том, что взлому подвергся 1cbit.ru. Согласно опубликованной информации, злоумышленникам удалось выгрузить более 24 терабайт данных. Сайт 1cbit.ru в настоящее время недоступен, но еще несколько минут назад на нем висело вот такое сообщение.

Не любим мы писать про крипту, конечно, но вот вчера был создан сайт по обмену криптовалюты в Воронеже который поражает своей гармонией и простотой - https://www.obmenbtc.ru Лендин сайта максимально прост - адрес и мобильный телефон. При этом как пишут - работают круглосуточно, исключительно для удобства клиентов. Кто еще в Воронеже поможет в 3 часа ночи срочно обменять криптовалюту на... простое "спасибо". Также только ради Вашей безопасности эта компания попросит у вас удостоверить свою личность, указав персональные данные, чтобы предотвратить несанкционированный доступ на ИХ объект и выдадут вам на ресепшен ... внимание... электронный пропуск, который при выходе нужно сдать и это для безопасности клиентов. Но кажется зря авторы сайта остановились в своей креативности, ведь на объекте еще установлен свет, который помогает клиентам передвигаться внутри, а также окна, чтобы клиент случайно не упал в оконный проем с огромной кучей денег, а также предотвратили несанкционированное проникновение снаружи.

В продолжение вчерашнего поста. Та же самая схема, только теперь речь идет уже не о выплатах студентам, а о бесплатном обучении на водительское удостоверение. По итогу же жертву опять перекидывают на сторонний ресурс с уникальным токеном, на этот раз https://telegram-access.online, на котором и происходит магия кражи аккаунта. Судя по названиям принадлежащих владельцу доменов, он специализируется на взломе VK и Telegram. По сути, это одна схема, в которой разнятся лишь информационные подводки, а новые, как видите, появляются буквально ежедневно. С начала года мы зафиксировали уже несколько десятков вариаций на эту тему.

А вот и очередная замануха на тему взлома Telegram. На этот раз предлагают не проголосовать за фото и даже не подписать петицию, а получить выплату, если вы студент, конечно. Для того, чтобы стать на шаг ближе к 10 тысячам рублей вам придется всего лишь заполнить о себе такие данные, как ФИО, дату рождения, город, место учебы, образование и номер телефона, что уже само по себе представляет массив весьма ценных данных. Ну а после вы будете переадресованы на другой ресурс злоумышленника - web-tgauthing.ru с уникальным токеном, где вам предложат отсканировать QR-код в приложении Telegram, тем самым привязав к своему аккаунту чужое устройство. Стоит ли рассказывать о том, что владелец этого устройства получит полный доступ к вашим перепискам, а информация, которую вы предоставили о себе в анкете, поможет ему намного успешнее монетизировать ваш аккаунт. Впрочем, классический вариант с авторизацией по номеру телефона на фишинговом сайте тоже имеется. С учетом того, что при сканировании кода в приложении Telegram привязка нового устройства происходит мгновенно, настоятельно рекомендуем использовать двухфакторную аутентификацию. В данной конкретной схеме её обход не предусмотрен.

Могли ли злоумышленники пропустить такой прекрасный информационный повод, как Реестр военнообязанных и электронные повестки? Конечно нет! И несмотря на то, что в этот раз раскачиваются они довольно долго, интересные схемы все равно встречаются. За последние дни в российском сегменте интернета появились следующие новые домены: реестр-военнообязанных.рф реестрвоеннообязанных.рф пришлаповестка.рф онлайнповестка.рф prishlapovestka.ru vseoreestre-prizyvnikov.ru Большая часть из них неактивна, но вот домен «онлайнповестка.рф» ведет нас на сайт, на котором всего за 99 рублей предлагается проверить, не пришла ли вам электронная повестка. Вводим ФИО… данные карты… Стоп. Почему оплата идет в счет сайта https://mybodyfit.ru/? Зачем нам подписка на онлайн-курсы по фитнесу, ведь мы хотели проверить себя через реестр военнообязанных… На самом деле все просто, мы неоднократно писали об этой схеме. Владельцу сайта с повестками принадлежит целый букет ресурсов, в том числе: https://mybodyfit.ru/ - онлайн-тренировки по фитнесу http://checkvk.ru/ - проверка посетителей страницы в VK http://instascanner.ru/ - Инстаграм-шпион http://donatpizza.ru/ и http://storemine.ru/ - покупка скидочных кодов И прочая ерунда типа сайта: http://zldayz.ru/ При оплате любой услуги на этих сайтах пользователь автоматически оформляет ежемесячную подписку на онлайн-курсы по фитнесу, отписаться от которой будет не так просто. Создатели сайта с повестками настолько обленились, что в качестве контактной почты оставили адрес vkcheck@inbox.ru. Этот же адрес фигурирует и на сайте с фитнес-курсами. А вот в пользовательском соглашении упоминается уже другой адрес - VkSkanner@mail.ru и сайт https://vkskanner.ru. Вот так вот в одном месте смешались VK, повестки и фитнес.

Сегодня в даркнете выставили на продажу базу, которая, согласно описанию, принадлежит порталу по продаже билетов на различные мероприятия http://kassy.ru. Продаваемый архив состоит из 116 CSV-файлов, в сумме содержащих 16 миллионов строк, в том числе: База содержит: Логин ФИО Номер телефона Хэш пароля E-mail Пол В настоящий момент сайт kassy.ru недоступен.

Кстати, владелец сайта про дельфинов не ограничивается лишь спасением морских млекопитающих, ведь ему принадлежит еще и фейковый сайт банка ВТБ - http://vtb-invest.ru. Шаблон страницы хорошо знаком, он использовался на десятках фишинговых сайтов, только вот то были ресурсы по типу фейковой инвестплатформы от Газпрома, здесь же схема явно отличается. Анализ кода страницы расставляет все по местам: кто-то взял сделанный на Tilda шаблон лендинга фейкового инвестиционного сайта и переделал его под свои задачи. Именно поэтому часть классов в коде имеет имена, сгенерированные конструктором Tilda, другие же явно придуманы человеком. Кроме того, в коде обнаруживается упоминание другого ныне недоступного фейкового сайта ВТБ - https://vtb-invest.finance. Как и в случае с дельфинами, владелец сайта не стал заморачиваться с SSL-сертификатом. Он просто взял и… сделал всплывающее окно с сообщением о том, что соединение защищено! Мамкины вебмастеры, берем на заметку. В остальном все стандартно. После ввода данных пользователя и кода получения средств (длиной более 6 символов), жертва попадает на страницу vtb-invest.ru/verified, на которой требуется ввести номер банковской карты. Корректность ввода номера не проверяется, зато проверяется соответствие BIN-ам: 220024 220065 536829 489347 676907 554386 427230 639002 471487 427229 Ну а дальше все стандартно: введите код из СМС, введите его еще раз… И так до тех пор, пока любо деньги на карте не закончатся, либо доступ в личный кабинет не пропадет.

P.S. читатель решили немного поправить содержание сайта. Лайк, подписка, комментарий.

Спасем дельфинов с эскортицами. Ну да, вот такое странное предложение предлагают наши литовские «друзья» на сайте http://golos-girls.ru/ Схема простая - выбрать девушку, данные которых спарсены с сайта эскортниц (ссылку давать не будем, в исходном коде сами посмотрите) - указываете количество голосов которые пойдут якобы в фонд помощи «Спасения дельфинов Сочи» (нет такого конечно) и вводите данные своей карты чтобы списались все ваши деньги. Фишинг с мамонтами с использованием млекопитающих. Жмудь старался, жмудь молодец.