in2security

Сегодня нам встретился новый шаблон сайта фейкового инвестпроекта от Газпрома (первая картинка). Почему мы решили поделиться этой информацией? Да просто сложно найти более активную и при этом более консервативную схему. Несмотря на то, что новые сайты стабильно появляются на протяжение последних четырех лет в количестве от 5 до 15 в день, за все эти годы основной шаблон фейковых ресурсов практически не изменился – мы регулярно фиксируем сайты, которые выглядят ровно так же, как и те, что мы находили 3-4 года назад. У схемы существует целый ряд форков. Помимо инвестиций от Газпрома, Газпромбанка, Газпром нефти или Газпром инвестхолдинга, существуют варианты, связанные с несуществующими организациями, например Газинвест или Газ руси, сайты, нацеленные на граждан других стран, в частности Польши, Молдовы и Узбекистана, а также фейковые инвестпроекты от имени Илона Маска и прочих успешных людей (недавний пример с Германом Грефом тоже из этой серии). Также нередко используются дополнительные веб-страницы, имитирующие сайты новостных агентств, чаще всего РБК, раньше были популярны еще и фейковые выпуски теленовостей, но в последнее время они практически полностью сошли на нет. Несмотря на то, что в последние 3 года такие ресурсы в основном используют домены третьего уровня, а также доменные имена, никак не связанные с Газпромом, это не мешает нам пачками обнаруживать их по другим признакам. Так что если хотите погрузиться в мир фейковых инвестиций, вот вам свежий улов: https://delicakdmg.space/ https://quest.trading-investing.ru/ https://pilimorv.space/ https://racetovan.com/ http://getnewsolutions20223.cfd/ http://gnvesting.online/ https://exxclusivesafety.site/ https://raprepair.com/ https://jerfamir.com/offer/ https://kilimanro.com/ https://lilliroud.com/ https://takebestsalary.click/ https://goodsolution23.com/

Безопасность на авось… Сегодня на популярном каждый раз возрождающемся словно феникс из пепла дарк-форуме, посвященном утечкам, выложили клиентсткую базу, которая, согласно описанию, может принадлежать сети магазинов «Авоська». В авоське обнаружилось примерно 2000 строк, содержащих: ФИО Пол Телефон (1850 уникальных) Email (88 адресов) Хэши паролей Адреса Баланс бонусных баллов… …и массу прочей служебной информации. Выложенный дамп не похож на компиляцию или перелицованную старую базу. Несмотря на заявленную актуальность – 2019 год, в базе присутствуют записи от 2 апреля 2023, так что инцидент по всей видимости произошел вчера.

Нас часто спрашивают о том, как нам удается в короткое время анализировать большие массивы доменов и выявлять среди них целые группы, заточенные под скам и фишинг! В этом нам помогают коллеги с канала CyberSquatting RU Alerts. Каждый день они выкладывают новые порции новых доменных имен, с которыми явно все не чисто, будь то домены, похожие на популярные бренды или домены, зарегистрированные в рамках различных популярных мошеннических схем. Если вы полны желания изучать фишинговые схемы и выводить мошенников на чистую воду, то вот вам отличный источник информации для старта.

Познавательная пятница на канале In2security Знаете ли вы, какая доменная зона чаще всего используется для скама и фишинга? Можно было бы предположить, что это бесплатные африканские домены типа .CF, .MD и так далее, предлагаемые регистратором Freenom, получившие широкую популярность у скамеров в 2020-2022 годах. Но это не так. В топе доменных зон, используемых для фишинга, уверенно лидирует зона .TOP, простите за каламбур. Минутка занимательной статистики. В марте этого года было зарегистрировано чуть более 126 тысяч доменов *.TOP. Из них более 120 тысяч (95%) – это доменные имена, представляющие собой произвольно сгенерированные буквенно-цифровые комбинации или шаблонные домены-прокладки по типу тех, что используются в мошенничествах на маркетплейсах. Производительности злоумышленников можно только позавидовать. В среднем в сутки в зоне .TOP появляется порядка 5 тысяч вот таких доменных имен. Конечно, не все они задействованы под скам. Выборочный анализ показал, что немалая их часть используется для… адресации онлайн-казино, что, впрочем, не многим лучше. Вряд ли Китай, который является владельцем зоны .TOP подозревал, как именно она будет использоваться спустя 12 лет после её появления. Изначально планировалась, что домены .TOP будут ассоциироваться с чем-то топовым и люксовым, но вот только по состоянию на сегодняшний день новые осмысленные доменные имена в зоне .TOP практически не появляются. Количество новых доменов, содержащих слова из европейских языков не превышает полутора процентов, а остальные 3,5 процента приходятся на китайские домены.

Для того, чтобы перечислить все бренды, задействованные в схеме с фейковыми опросами, которую мы назвали «Хамелеон 2.0», не хватит пальцев и на двух руках. И вот новый бренд в копилке – «Вкусно и точка». Кстати, наш бдительный подписчик заметил, что на сайте вместо месяца "март" написано "маршировать" - автозамена не щадит даже мошенников! Данный мошеннический сценарий прекрасно зарекомендовал себя в последние 2 года и ничуть не собирается отправляться на покой. Напомним суть схемы «Хамелеон 2.0». Сообщения со ссылками на вредоносный ресурс распространяются в мессенджерах, причем отправляют их сами пользователи – для получения подарка необходимо поделиться информацией о розыгрыше с парой десятков друзей. После перехода по ссылке пользователь попадает не на сам фишинговый сайт, а на один из произвольно сгенерированных доменов и лишь после нескольких редиректов через такие же безликие домены оказывается непосредственно на сайте с опросом. Цепочка редиректов постоянно меняется, а фишинговый сайт откроется лишь тому, кто попадет на него через переадресацию с одного из промежуточных ресурсов. Это обеспечивает высокую стабильность схемы и защиту от обнаружения. Впрочем, мы давно раскусили принцип её работы и без труда выявляем все сайты, задействованные в фишинговой цепочке.

Сегодня у нас день Сбера. В сеть выложили второй файл, предположительно имеющий отношение к бонусной программе «СберСпасибо». Структура нового файла совпадает с предыдущим. В нем так же содержатся номера телефонов, даты рождения, регистрации в сервисе и последнего входа, а также хэшированные номера карт. Файл содержит: 4 541 015 строк. Уникальных номеров телефонов: 4 532 480. Актуальность базы – 22 января 2023 года. Последняя дата имеет временную отметку 22 часа 03 минуты.

Злоумышленники часто используют образ медийных персон для вовлечения людей в различные авантюры. Больше всех достается Илону нашему Маску, периодически мелькает Дуров, но и Герман Греф не отстает в популярности. Фейковые профили Германа Оскаровича в соцсетях появляются буквально еженедельно, а вчера в сети появилось целых три сайта, предлагающих обучение по программе «Инвестиции для начинающих» от главы Сбера: http://герман-греф.рф/ http://школа-грефа.рф/ http://обучение-грефа.рф/ Сайты выполнены на привычном шаблоне для ресурсов фейковых инвестиционных программ, сверстанном в Tilda, а политика обработки персональных данных настолько плоха, что не годится даже для палатки по продаже шаурмы, телефон и адрес позаимствованы у «Школы 21» (https://21-school.ru/) – бесплатной школы программирования от Сбера, не имеющей ни малейшего отношения к тематике инвестиций. В современных реалиях отслеживание случаев использования образа публичных личностей и топ-менеджмента крупных компаний – это не прихоть, а насущная необходимость, ведь подобная кража личности может повлечь последствия зачастую даже более серьезные, чем злоупотребление брендом компании.

Волна взломов Telegram-аккаунтов продолжается уже полгода. И если сама схема принципиально не меняется, как и шаблон, то вот легенда, использования для заманивания на фишинговый сайт, претерпевает изменения. Если в последние месяцы в тренде были голосования, то теперь мошенники перешли к петициям. На скриншоте вы можете видеть пример фишингового сайта petitiongram.ru, на котором предлагается подписать петицию о запрете добычи нефти на Аляске. Сейчас эта тема весьма актуальна, существует соответствующая петиция на change.org, а посты с просьбой подписать её активно разгоняются в VK и на других площадках, так что найти потенциальную жертву, озабоченную вопросами экологии, будет не сложно. Обратите внимание, что фраза про петицию написана человеком, весьма своеобразно владеющим русским языком. Впрочем, это не мешает ему активно скамить русскоязычное население. В его копилке имеются фишинговые проекты под Avito, Discord, Steam, МВидео, VK, Мособлэнерго, Yandex, кредитные организации, а также фейковые криптовалютные проекты и сайты театров. Общее количество принадлежащих владельцу доменов составляет 2,5 тысячи – явная заявка на рекорд.

В современном мире скама все максимально автоматизировано. Это касается и мошенничеств на торговых площадках, и многих видов фишинга, равно как и других вредоносных активностей. Автоматизация делает осуществление атак проще и значительно снижает требования к квалификации атакующего. Перед вами пример фрод-комбайна Fraudopedia, развернутого на российском домене fraudopedia.ru. OTP-боты предназначены для кражи одноразовых кодов (паролей) доступа в рамках двухфакторной аутентификации. Доступ к подобным инструментам как правило осуществляется по подписке. Владелец домена – весьма активный человек. Среди его ресурсов встречаются: https://fpedia.ru/login - еще одна Fraudopedia https://avito-sms.ru/ - обход двухфакторки на Авито https://pleaks.ru/index.php - польскоязычный форум об утечках https://bunkr.su/ - файловый сервер для хранения утечек. А также онлайн хранилище для вредоносного п/о, криптер троянов, сайт с форекс-ботами, онлайн-кинотеатр, фейковый ресурс польской службы доставки, домены, заточенные под фишинг от лица европейских банков и многое другое. Несмотря на то, что человек явно ориентирован на работу по Европе и скорее всего имеет польские корни, располагается все это добро на российских доменах, причем не только .RU, но и .SU, что вообще редкость. В текущих условиях заблокировать такие домены европейским компаниям будет сложнее, чем обычно, а если припечет, то всегда можно сослаться на русских хакеров.

На одном из теневых форумов была размещена база, предположительно имеющая отношение к оператору телефонии для бизнеса «Авантелеком (https://avantelecom.ru/). Актуальность базы – 15 марта 2023 года. База интересна тем, что в отличие от большинства инцидентов, о которых мы обычно пишем, она не содержит персональных данных или паролей – лишь телефоны и… текстовые расшифровки разговоров с клиентами в количестве 33 тысяч штук. Характер разговоров позволяет предположить, что это звонки в техподдержку. Тайна связи, говорите?

Недавно мы писали про утечки, предположительно связанные с сервисом «Сберлогистика» и порталом «Сберправо», а сегодня в сеть выложили архив с говорящим названием Sberspasibo.zip_. Архив содержит 2 файла. Первый файл – Orders имеет размер 820 мегабайт и включает 6 335 994 строки, содержащие номера телефонов, адреса электронной почты, даты рождения, даты регистрации, хэши карт и прочую служебную информацию. Анализ файла позволил выделить: 1 089 420 уникальных адресов электронной почты 1 448 281 уникальный телефонный номер Файл охватывает период с 01.04.2017 по 07.02.2022. Размер второго файла – Users составляет почти 13 гигабайт. В нем содержится 48 387 008 строк. 132 749 уникальных адресов электронной почты Более 47 миллионов уникальных номеров телефонов. По состоянию на 14.00 архив успели скачать уже более 350 раз.

Хакеры, несколько дней назад выложившие в даркнете данные компании Acer, опубликовали массив данных, предположительно имеющих отношение к компании «Акронис». Утечка содержит: - различные файлы сертификатов - различные журналы команд - системные конфигурации - журналы системной информации - архивы их файловой системы - скрипты python для их базы данных maria.db - конфигурация резервного копирования - множество снапшотов операций резервного копирования Если утечка является подлинной, то это может нести как угрозы для безопасности, так и репутационные риски, ведь «Акронис» - это в первую очередь компания, специализирующаяся на разработке ИБ-продуктов.

Сегодня на одном из даркнет-форумов были размещены два архива, предположительно имеющие отношение к Высшей школе экономики. Архивы содержат сканы паспортов и персональные данные выпускников и сотрудников, списки сотрудников, имеющих отсрочку от мобилизации, досье абитуриентов магистратуры, логины и пароли для доступа к СЭД и другим внутренним сервисам, а также значительный объем иной информации. Актуальность данных – март 2023 года. Автор публикации намекает на то, что может последовать продолжение, что неудивительно, так как уже опубликованные сведения содержат огромное количество информации, которая может быть использована для атак на инфраструктуру ВУЗа.

В сеть выложили архив с базой клиентов предположительно сети бургерных «Фарш». Файл содержит 14 210 строк, включающих: имя, электронную почту (10 814 уникальных ящиков), телефон (11 424 уникальных), адрес, сведения о браузере и прочую служебную информацию. Анализ базы показывает, что упоминаемые в ней бургеры соответствуют тем, что представлены в меню принадлежащей Новикову сети, а сама база скорее всего является не списком клиентов, а базой отзывов о качестве обслуживания. Файл охватывает период с 28 августа 2018 по 7 марта 2023 года.

Не успел затихнуть шум вокруг Сберлогистики, как в сети появился архив, предположительно имеющий отношение к порталу «Сбер право». Архив sberpravo.zip содержит 3 файла: user, user2 и userphone.Дата создания всех трех файлов одинакова – 8 февраля 2023 года, то есть практически ровно месяц назад. Файл user состоит из 120 901 строки. Из значимых данных в нем можно выделить ФИО, телефон и адрес электронной почты. Уникальных телефонов: 152 900 Уникальных адресов электронной почты: 70 155 Среди адресов электронной почты присутствует довольно много учеток в домене sberbank.ru, самыми популярными словами в электронных адресах являются по удивительному совпадению слова lawyer и advokat. Несмотря на то, что размер второго файла в разы превышает размер первого, user2 содержит меньшее количество информации - 119496 строк. Помимо ФИО в базе представлены опять же адреса электронной почты, наименования юридических лиц, даты рождения и регистрации пользователей. Самая поздняя дата – 8 февраля 2023 года, что совпадает с датой создания файлов. Файл Userphone содержит 15360 строк, состоящих исключительно из телефонов в связке с идентификаторами пользователей.

На популярном теневом форуме выставлен на продажу массив данных, которые, согласно описанию, принадлежат тайваньской компании Acer. Продаваемый архив объемом 160 гигабайт содержит огромное количество внутренней информации, в том числе: - конфиденциальные документы, включая внутренние руководства и презентации, сведения о продукции; - сведения об инфраструктуре; - сменные цифровые ключи продуктов (RDPK) - образы Windows (SDI) и прочего софта; - технические данные BIOS, ПЗУ и масса других файлов. Актуальность утечки оценивается серединой февраля. Подобный архив интересен далеко не каждому, но он может стать отличным приобретением как для конкурентов, так и для тех, кто специализируется на взломе и перепрошивке аппаратных устройств. Так что, если у вас планшет Acer, скоро сможете ожидать волну кастомизированных прошивок.

ЧВК "Валерон" Обычно создателей фишинговых ресурсов достаточно сложно идентифицировать методами OSINT, поэтому основным методом борьбы с фишингом является блокирование фишинговых сайтов. Это крайне важная работа, но по сути она являет собой борьбу со следствием, а не с причиной. Но сложно - не значит невозможно. И сегодняшний пример посвящен тому, как всего лишь одна ошибка позволила нам связать 60 фейковых ресурсов с молодым разработчиком-анимешником из города Чебоксары: https://telegra.ph/Valeron-03-04.

В сеть выложили базу, согласно описанию принадлежащую сервису «Сберлогистика». Файл содержит 671 473 строки, включая ФИО, дату рождения, телефон, электронную почту, хэш пароля и так далее. Данные охватывают период с 16.02.2016 по 03.02.2023 г. Уникальных адресов электронной почты: 2250, из них 2237 почт на домене sberlogistica.ru. Уникальных телефонов – 739 197.

Иногда в дарке всплывают весьма любопытные утечки. Вот, например, вчера на одном из теневых форумов завсегдатай выложил базу, найденную через мониторинг портов, специфичных для Elasticsearch. База хостится на VPS, расположенном в Нидерландах, но её контент позволяет однозначно связать её с Россией. Тот, кто взломал базу, сам не понял, что это такое и предлагает её «как есть». При этом база весьма любопытна. Каких-то особо чувствительных данных она не содержит – максимум имена, ники и телефоны, кого сейчас таким удивишь, зато комментарии в ней прекрасны. Вот лишь небольшая подборка: мент-П****** Леонид Юрьевич\мошенник-сергей петрович 1995г УВД ПО СВАО г. МОСКВА\УЛИЦА ВЕШНИХ ВОД 10\МОШЕННИК: (ФАМИЛИЯ ЛОХА) СЕРГЕЙ ПЕТРОВИЧ СЕЙЧАС НА РАБОТЕ РАЗДУПЛИТЬ НУЖНО Лейтенант полиции Ш***** Борис Борисович, должность - дознаватель, ГУ МВД по г.Москва. \Удостоверение №КСР22****\Мошенник – К**** Райана Алановна Больше всего это напоминает базу колл-центра мошенников, черных юристов, представителей серой микрофинансовой организации или иных подобных персон, но уж точно не легальной организации. Так что налицо факт того, что одни злоумышленники взломали других. Впрочем, на такие базы всегда есть спрос, ведь если кого-то успешно развели один раз, его с высокой долей вероятности можно развести опять…

Утечка дня – платежная платформа Mandarin (https://mandarin.io/). Выложенный в общий доступ архив содержит 2 файла со сведениями о пользователях и сессиях. Размещенные данные охватывают период с декабря 2018 по апрель 2021 года и содержат: идентификатор пользователя, хэш пароля, адрес электронной почты. Кроме того, в файле Sessions, содержащем 2 767 133 строки, имеются сведения о ФИО, ИНН, паспортах и телефонах пользователей.