in2security

На банках паразитируют не только откровенные мошенники. Сегодня мы расскажем о формально белой схеме, которая в последние годы весьма популярна в сети. Многие банки имеют реферальные программы по типу «приведи друга» и предлагают небольшой бонус за каждого нового клиента, который оформит карту по реферальной ссылке. Маркетинговый расчет тут прост: вы оформили карту, начали ей пользоваться, порекомендовали её другу, он тоже начал пользоваться – количество клиентов банка прирастает. Но существуют люди, которые банально зарабатывают на реферальных программах, обещая процент от бонуса тем, кто оформит карту по их ссылке. И вы знаете… находятся люди, которые готовы оформить ненужную им банковскую карту для того, чтобы получить 300 рублей. Естественно, такой контингент не является целевой аудиторией банка и это портит всю суть маркетинговой программы. Свежим примером подобного сайта, созданного для заработка на рефералках, является bankbonus.ru. Для оформления карты необходимо написать в WhatsApp по номеру +79254665799, после чего вам пришлют ссылку, ведущую на анкету на сайте банка, в которой указано, что «Ваш друг Дмитрий К. рекомендует вам Альфа-Карту». Удивительным образом этот же номер фигурирует и на появившемся полгода назад адвокатском сайте pravonavse.ru. Оба сайта сделаны на едином шаблоне, даже уникальные идентификаторы в коде страницы совпадают. Вот только вместо Дмитрия на сайте адвокатов указана некая Алина. Впрочем, Telegram-канал «адвокатов» пуст и печален, а сама Алина не появлялась в сети уже полгода, так что видимо юридический бизнес не пошел, пришлось собирать копейки на рефералках. Тем более, что сбор «копеечек» на реферальных программах крайне популярен у различных сетевых Остапов Бендеров мелкого пошиба. Взять хотя бы сайт bonus-za-druga.ru, владелец которого с одной стороны зарабатывает на рефералках банка УБРиР, а с другой – создает фишинговые сайты под этот же банк, а также другие банки из ТОП-50.

Сегодня в сети опубликовали файл с данными клиентов официального интернет-магазина Philips (https://www.shop.philips.ru/). Размещенный файл содержит 301622 строки в формате: имя, email. Саму по себе эту информацию нельзя назвать особо ценной - покупать такой файл точно никто не будет, поэтому его и выложили бесплатно, но в совокупности с другими утечками она может представлять определенный интерес, тем более что в файле содержится немалое количество корпоративных адресов электронной почты.

На сегодняшний день главный тренд интернета – нейросети. И больше всего шума в последние недели наделала нейросеть ChatGPT. Она уже успешно пишет программный код, курсовые, статьи для сайтов и так далее. Но вот беда, Она официально недоступна в России. Конечно же, существует масса способов обойти то ограничение и заполучить аккаунт, но в последние дни мы стали фиксировать появление большого количества сайтов, предлагающих российским пользователям купить аккаунт ChatGPT за небольшие деньги. Вот лишь отдельные примеры: kupit-account-chatgpt.ru chatgpt-ai.ru aichatgpt.ru chat-gpt.ru chatgptai.ru chatgpteto.ru chatgptnarusskom.ru chatgptp.ru chatgptvrossii.ru chatgt.ru chatgtb.ru gptchatbot.ru openai-chat-gpt.ru openchatgpt.ru freechatgpt.ru В целом все как обычно – никаких гарантий, никакой информации об операторе. Вы просто перечисляете смехотворную сумму на кошелек какого-то человека и надеетесь, что что-то произойдет. Сумма значительно ниже порога уголовной ответственности, так что даже если ничего не произойдет, вашему контрагенту особо ничего и не грозит. Но это не единственный пример. Подобные сайты появляются в последние дни как грибы после дождя, а количество доменов в Рунете, эксплуатирующих тематику ChatGPT, уже исчисляется десятками. Правда, тут нет ничего удивительного: любое модное поветрие сразу же привлекает проходимцев самых разных мастей. Теперь ждем, когда нейросети начнут генерировать контент для скам-сайтов.

Сегодня в сеть выложили базу данных сайта «супермаркета недвижимости» NDV.RU. SQL-дамп объемом 8 гигабайт на 38.5 миллионов строк содержит сведения персональные данные клиентов, включая ФИО, адреса , даты рождения и телефоны, номера договоров, а также информацию о ходе строительных работ с 2013 по 2017 годы, сведения об обращениях в компанию и прочую информацию. Эта утечка совпала с наблюдаемым нами ростом числа фейковых сайтов девелоперов и риэлторов. Схема их работы чем-то похожа на сценарии фейковых банков: те якобы предлагают оформить ипотеку на выгодных условиях, эти – приобрести недвижимость, внеся предоплату. С учетом того, что даже многие официальные девелоперы придерживаются политики: «сегодня деньги, завтра договор» (проверено на практике), схема является вполне работоспособной. Единственный способ уберечься от подобных мошенников – не гоняться за дешевизной и проводить оценку контрагента до того, как совершать какие-либо финансовые операции.

Вчера появилась новость о том, что мошенники, представившиеся сотрудниками безопасности банка, сперва убедили 48-летнего жителя Подмосковья оформить кредит на 1.35 миллиона рублей, а потом… поджечь отделение этого самого банка. Для того, чтобы сподвигнуть людей совершать такие безумные поступки злоумышленники используют не только дар убеждения, но и различные вспомогательные средства, например сайты, на которых можно проверить, действительно ли вам звонит настоящий сотрудник банка или полиции. За примерами таких сайтов далеко ходить не надо, причем в отличие от откровенно фишинговых ресурсов, такие страницы живут долго. Так, домен mvd-id.ru был зарегистрирован в декабре, а домен bank-id.ru – и вовсе в сентябре прошлого года. А вот ресурс gosidbank.ru появился только вчера. Схема проста и эффективна. Если жертва начинает сомневаться, её перенаправляют на такой ресурс и предлагают проверить «уникальный идентификатор сотрудника». Причем если ввести неправильный ID, система напишет, что такого сотрудника не существует. Для пущей убедительности на некоторых сайтах прикручена форма авторизации через «Госуслуги», но в настоящий момент она не работает. Данная схема встречалась нам и раньше, но в последнее время она начинает применяться все активнее.

Дней без утечек: 0 На этот раз в сети выложили данные «Лесной интернет-аптеки Лиатон». Архив содержит 4 файла: сведения о заказах, в том числе стоимость, контактную информацию (адреса и телефоны), статус доставки, а также прочие служебные сведения, такие, скажем, как код постамата для получения посылки, или информация об устройстве, с которого был осуществлен заказ. Всего в утечке фигурирует 2306 уникальных адресов электронной почты и 3361 телефон. Выложенные базы охватывает период с 4 мая 2018 по 30 января 2023 года. Как видите, в наши дни подобная информация все чаще распространяется бесплатно, а не продается. Впрочем, не обошлось и без странностей. Данные одного из файлов, размещенных в архиве liaton.ru.zip почему-то содержат не сведения о заказах бобровой струи и мускуса кабарги, а информацию о покупке электроинструментов в магазине frezerov.ru… На данный момент сайт https://liaton.ru недоступен, так что размышлять о том, имеет ли утечка отношение к реальности вряд ли имеет смысл.

В дополнение к предыдущему посту размещаем официальное заявление компании Best2pay от 01.02.23 В декабре 2022 года информационные системы нашей Компании подверглись спланированной атаке с использованием скомпрометированного корпоративного аккаунта одного из наших подрядчиков, работавшего в изолированной тестовой среде. С использованием аккаунта подрядчика была скомпрометирована Тестовая система формирования отчетов. Тестовая среда полностью изолированна от основных информационных систем компании, а размещенные в ней данные были подготовлены специально для работы с внешними подрядчиками. Актуальность массива данных относится к периоду с начала 2019 г. по июнь 2021 г. В похищенном массиве отсутствуют полные данные карт (только маска) и иные платежные реквизиты. Все боевые системы, которые отвечают за обработку и хранение карточных данных полностью отделены от всех тестовых сред и надежно защищены по всем стандартам PCI DSS, что ежегодно подтверждается независимыми аудитами уже более 10 лет. Платежные данные клиентов не пострадали и находятся в безопасности.

Более детальный анализ утечки показал, что в ней фигурируют 204 тысячи уникальных банковских карт, выпущенных банками из 102 стран мира. Естественно, в основной массе это российские карты. Из 2429 BIN-ов российским банкам принадлежит 1399 идентификаторов. В общей сложности утечка затронула клиентов 185 российских банков из 331 существующего в настоящее время. Впрочем, несколько карт из утечки были выпущены уже прекратившими деятельность кредитными организациями, такими как банк «Таата», получившей печальную известность благодаря тому, что в результате кибератаки в 2016 году с его счетов было похищено более 100 миллионов рублей. Несмотря на то, что база данных не содержит полных номеров карт, она может быть легко использована для таргетированных социотехнических атак на клиентов банков. Так что в скором времени можно ожидать массовых звонков не только от «службы безопасности Сбербанка», ставшей уже своеобразным мемом, но и от представителей любой из представленных по ссылке организаций.

В сеть попали данные платежного сервиса Best2Pay (https://best2pay.net/). Опубликованный файл содержит 1 миллион строк, включающих ФИО, фрагмент номера карты, дату, сумму и назначение платежа, адреса электронной почты, телефоны, IP-адреса и массу иной служебной информации. Уникальных почтовых адресов: 416378 Уникальных телефонов: 334450 Самая поздняя фигурирующая в файле дата – 28 января 2023 года. Впрочем, название файла намекает на то, что будет еще и продолжение. 🔍 Могут ли данные иметь отношение к реальной утечке – выясняется

Поступил официальный комментарий от представителя ООО "Атол": Уважаемые друзья, Сегодня произошел взлом ИТ-сервисов, используемых нашей компанией. Вследствие менее 5% клиентов и партнеров АТОЛ получили спам-сообщения, а ряд сайтов компании могут быть недоступны в течение короткого периода времени. Мы оперативно устранили уязвимость и принимаем дополнительные меры к тому, чтобы в дальнейшем эта ситуация не повторилась. Важно отметить, что злоумышленники не получили доступ к клиентским и партнерским данным. Сервисы и оборудование АТОЛ продолжают работать в нормальном режиме. Команда АТОЛ

В открытый доступ выложили массив данных ООО «Атол» - производителя оборудования и ПО для автоматизации торговли. Основной выложенный файл содержит 157 104 строки со сведениями о клиентах и партнерах компании, в том числе адресе электронной почты, ФИО, ИНН, наименовании организации и контактном телефоне. Помимо активных клиентов в базе присутствуют строки со статусом «Заблокирован» или «Приглашен». Кроме базы клиентов злоумышленники выложили довольно значительный объем информации, включая исходники веб-ресурсов, логи, скрипты, внутреннюю документацию, в том числе сканы актов о поставке оборудования, прочие базы данных, например, список участников форума, а также иные сведения. Общий объем запакованных архивов составляет порядка 9 гигабайт. А в распакованном виде все это переваливает уже за сотню гигабайт.

Волна взломов Telegram-аккаунтов продолжается. Новые фишинговые сайты появляются практически ежедневно. В тренде, как и месяц назад, фейковые голосования. В целом схема остается неизменной: многочисленные сайты-завлекалочки, ведущие через несколько промежуточных ресурсов на фишинговый сайт. Свежие примеры таких сайтов: tele-golosovanie.ru tele-golos.ru golosovanieonline.ru golos-teleguide.ru telegram-golosovanie.ru Данный шаблон активно используется уже полгода и все равно демонстрирует высокую эффективность. Ну а нам остается лишь отправить обнаруженные домены на блокировку.

В даркнете все чаще стали публиковать утекшие данные компаний, на которые в другой ситуации никто бы и не обратил внимания. Сегодня, например, выложили биллинговую базу маленького подмосковного провайдера «Дзинет» (dzinet.ru) из города Дзержинский Московской области. В утечку попали логины, пароли, адреса, номера телефонов, ФИО и паспортные данные клиентов провайдера и его сотрудников. Сам факт, конечно, неприятный, как и любая подобная утечка, но на фоне тех массивов информации, что попали в общий доступ за последний год, сведения совершенно не представляют интерес, разве только вы не клиент этого провайдера. Даже информация о том, что в утечке содержатся пароли админов перестанет быть актуальной после придания этой информации огласке. Такие утечки выкладывают в основном для того, чтобы заработать себе репутацию на даркнет-форуме. Впрочем, это лишний раз доказывает, что любая компания, вне зависимости от её размера и направления деятельности может быть атакована, а в случае успеха атаки, её данные пополнят коллекцию публичных утечек.

Минутка юмора. Думаете Cisco ушла из России? Нет. По мнению создателей сайта http://cisco-ru.ru? Cisco теперь не только разрабатывает сетевое оборудование, но и изготавливает металлоконструкции, продает запорную арматуру, метизы, пневматические системы и даже печной кирпич. Выражение «превратить роутер в кирпич» заиграло новыми красками.

payment-ckad.ru и payments-ckad.ru – тот случай, когда кто-то зарегистрировал домены под одну фишинговую схему, но в итоге использовал под другую. Про фишинг, заточенный под оплату проезда по ЦКАД мы писали не раз. Как правило, он соседствует с оплатой штрафов ГИБДД. Некоторые индивиды умудряются за месяц создать до нескольких десятков таких фейковых сайтов. Но в данной ситуации с дорогами что-то не срослось и выбор пал на… Отключение платных подписок всего за 50 рублей! Фейковые сайты СБП мы тоже уже рассматривали, но это что-то новое. Впрочем, новой стала только обложка, внутри все та же хорошо знакомая нам схема для кражи данных банковской карты. Сайт был благополучно заблокирован вскоре после обнаружения.

В общий доступ попали данные одного из крупнейших российских девелоперов – группы «Самолет». Выложенные файлы содержат 20 500 уникальных строк. Основной массив представляют контрагенты девелопера, но присутствуют сведения и о более чем 4 000 сотрудников компании. Несмотря на кажущуюся незначительность данных: ФИО, почта, телефон, с учетом специфики работы группы компаний, они могут быть использованы в сценариях man in the middle, ведь в базе присутствует информация о статусе партнера или сотрудника компании, ФИО менеджера, телефоны, должности и так далее. Размещенные сведения содержат данные за период с февраля 2021 по апрель 2022 года.

А вот еще один пример использования того же инфоповода, что и постом выше. Тут уже целый бот «Список мобилизации», который якобы позволяет проверить, не находитесь ли вы или ваши родственники в перечне тех, кого могут призвать в армию в 2023 году. А что же на самом делает этот бот? 1. Собирает персональные данные… 2. Заставляет вас оформить подписку на канал спонсора… 3. Требует для получения результата пригласить 10 друзей… В данном случае тема мобилизации используется в первую очередь для накрутки подписчиков некоего канала «Лимон».

Сегодня по различным каналам разошлось сообщение о том, что злоумышленники угоняют аккаунты под предлогом ознакомления со «Списком людей, которые будут мобилизованы 1-3 февраля». И это действительно так. Мы зафиксировали массовую рассылку вредоносных сообщений подобного содержания. К рассылаемым сообщениям прилагается ссылка, по которой мы просто не могли не перейти. И каково же было наше удивление, когда после череды редиректов мы попали на хорошо знакомый нам сайт https://konkurs-golos.ltd, который засветился в нашей статье про взлом аккаунтов под видом голосования за лучший детский рисунок. Этот пример отлично демонстрирует то, зачем нужны такие многоступенчатые схемы с переадресациями и размещением фишинговой формы ввода логина-пароля на стороннем ресурсе. Домены с рисунками давно заблокированы, а вот сайт для ввода логина продолжает действовать и редирект на него осуществляется уже с других ресурсов, в нынешнем случае – из сообщений в Telegram. Если же заблокировать сайт https://konkurs-golos.ltd, то он будет моментально заменен на другой, а ссылки из разосланных сообщений менять не придется – они продолжат работать за счет промежуточной переадресации. Пожалуй, это самая массовая фишинговая атака на российских Telegram-пользователей за все время существования мессенджера. Предыдущие носили куда более локальный характер и были намного проще организованы в техническом отношении.

Новый Год и Рождество – время волшебства! Поэтому сегодня мы расскажем вам о новой «волшебной» схеме, предназначенной для угона Telegram-аккаунтов: https://telegra.ph/Ne-golosuj-ili-proigraesh-01-07.

Шантаж интимными фото - дело весьма популярное. Существует масса схем получения компрометирующего материала. В последние годы, например в ходу был сценарий, когда девушкам предлагали принять участие в съемках клипа популярного певца, а входе виртуального кастинга просили раздеться для того, чтобы продюсер мог оценить параметры "актрисы". А вот в случае с сайтом https://adult-money.ru/ все еще проще - уговаривать раздеться никого не надо, ведь создатели сайта предлагают девушкам помощь в продвижении эротического контента. И все бы ничего: есть спрос, будет и предложение, но только вот от сайта за версту пахнет разводом. Домен зарегистрирован 3 января, сам сайт висит за CloudFlare, что уже само по себе как минимум подозрительно. Дальше лучше. Информация об организаторах этого "бизнеса" отсутствует напрочь, скриншоты отзывов - откровенный фейк: фото девушек взяты с сайтов интим-услуг, а время на телефоне и время якобы совершенного денежного перевода совпадают. Политика обработки данных скопирована с сайта https://gonets.ru/agreement.php вместе с данными предпринимателя. Ну и конечно же сама схема: организаторы обещают прислать 50% предоплату до того, как девушка предоставит контент, но до перевода предоплаты она должна прислать им скриншот своей галереи с интимными снимками. Для шантажа этого вполне достаточно.