in2security

Хакеры решили исправить свой новогодний провал и выложили в открытый доступ дамп 27,56 Гб содержащий 100 млн. записей клиентов Спортмастер, структура которого полностью совпадает с предыдущей. Но на этот раз последнии записи датируются 2018 годом. Отдельно отметим, что файл обозначен part1.txt. Спортмастер ранее подтвердил утечку через своего подрядчика.

На нашем канале мы постоянно пишем о том, что любую информацию надо обязательно проверять, тем более если на её основе планируется принять ответственное решение, например, перевести кому-либо деньги. Сегодня мы на реальном примере покажем вам, как за пару минут узнать, что якобы благотворительный сбор денег на самом деле оказывается тыквой, а сканам паспортов и прочих документов уж точно доверять не стоит. https://telegra.ph/Uchimsya-otlichat-zlotvoritelnost-ot-blagotvoritelnosti-01-03

Провожаем старый год старыми утечками. Последний слив в этом году оказался не таким актуальны, как могло бы быть. Данные десятилетней давности, хотя иногда мелькает и 2021 год. Видно, что кто-то себя плохо вел в этом году, поэтому подарков не принесли и пришлось доставать из очень глубоких заначек. И вот в общем доступе оказались данные клиентов магазина Спортмастер (именно так утверждается, подтвердить мы не можем) в количестве 1.655.406 строк с ФИО, телефоном, email и адресом доставки. Из уникального: телефонов: 1.222.987 почт: 269.495

Новый год – время чудес, поэтому только у нас вы можете получить в подарок IPhone 14 и массу других призов! Думали, что это рекламная интеграция на канале? Нет! Это очередные мошенники, которые создали сайт http://iphone-14-1-rubl.online и теперь наживаются на тех, кто верит в новогоднее волшебство. Так как схема с коробочками успела всем давно надоесть, на кону схема с волшебным барабаном. Крутите его и… внезапно выигрываете новый айфон. Клавиатуру, колонку или наушники выиграть нереально, мы проверяли. Правда, как обычно, есть один нюанс. Вместо айфона вы получаете подписку на фиктивный сервис pump-booty.ru, который сперва спишет у вас рубль, а потом будет раз в 7 дней списывать 1350 рублей с вашего банковского счета. Почему фиктивный? Да просто размещенная на сайте информация – сплошная фикция: из 28 занятий доступны только 3, да и занятиями их назвать язык не поворачивается. Ну а следующий розыгрыш айфонов (который вы выиграли, заметим) состоится… в октябре 2023 года. Как такими темпами они успели разыграть 2300 айфонов – ума не приложим. Кстати, страница с айфоном откроется лишь в том случае, если вы перейдете на сайт по ссылке с сайта розыгрыша. Сервис pump-booty.ru принадлежит реально существующему ООО "Интернетори". В этом году мы уже писали про подобные схемы с подписками, но, как видите, они живее всех живых и уверенно входят в новый год.

Почему важно проверять информацию в случае, когда речь заходит об утечках? Да потому, что за свежак часто выдают какое-нибудь никому не нужное старье. Вот и сегодня с мега-пафосным комментарием в Telegram выложили файл Saratov.7z, который по факту оказывается утечкой данных саратовского БТИ от 2004 года. Эта база успела стать широко популярной в среде ограниченных людей в начале 2000-х, погулять по всяким коллекциям баз под Cronos, столь любимых безопасниками из мелких контор и благополучно кануть в лету. Но нет, теперь «хакеры» откопали этот труп и выдают его в качестве доказательств своих намерений! Похоже, что следующей в таких «хакерских» каналах всплывет картотека 1908 года.

А вот и «бонус» к утечке фотографий паспортов водителей Ситимобила. Вчера на популярном дарк-форуме выложили базу телефонов клиентов сервиса на 1 миллион строк и 83 тысячи телефонов водителей. Помимо номеров телефонов база клиентов содержит их уникальные идентификаторы, сведения о количестве поездок и заказов, а также прочую служебную информацию. При этом автор публикации говорит, что это еще не конец и обещает выложить и другие данные Ситимобила. Похоже, теперь только пешком!

Сегодня у нас на обзоре целых три новых однотипных фишинговых сайта, созданных в попытке заработать на российских военнослужащих и волонтерах, а заодно и сдеанонить их, если выйдет: http://arcenal-voentorg.ru/ https://arcenal-army.ru/ http://arcenal-voentorg.store/ В целом они скопированы с реального магазина: https://arsenal.army, только вот из ассортимента оставили лишь те товары, которые в силу объективных причин пользуются сейчас особым спросом, не забыв добавить даже квадрокоптеры. Как обычно создатели фейковых магазинов попадаются на невнимании к мелочам. На одном из вариантов контактный телефон указан в формате: 9150915567, на другом и вовсе состоит из одних единиц. Часть ссылок банально не работает, а некоторые и вовсе ведут на оригинальный сайт, с которого был скопирован дизайн. Контактный почтовый ящик располагается на бесплатном гугловском сервере. Текст пользовательского соглашения написан русскими буквами, но не по-русски, в России не применяют такие обороты и такое построение фраз. Впрочем, это не удивительно, так как этот текст был позаимствован с украинского интернет-магазина по продаже одежды (https://blind-blind.com/usloviya-soglasheniya), только все упоминания Украины были изменены на Россию. Ну и вишенка на торте: оплата осуществляется путем перевода денег на карту физлица…

Мы не раз писали о фишинговых сайтах для угона аккаунтов, но сегодня у нас новая история: фишинг для угона пабликов радиостанций в VK. Наш подписчик сообщил, что целый ряд пабликов радиостанций, занимающихся ретрансляцией, получили вот такие сообщения: Добрый день, очень не приятно, что радио-паблик позволяет себе мошеннические публикации и плагиат! Уважаемые администраторы, поговорите с Вашими редакторами и примите меры, а не позволяйте себе обманывать простой народ. Странно, что радио с такой репутацией может так вольно и безнаказанно вести мошенническую деятельность. Ну ничего, жалоба уже подана, можете ознакомиться 👉 https://vk.cc/ck1W1w Ссылка из сообщения через еще один домен-прокладку ведет на ресурс: https://vkontakte-support.fun/appealvk. При этом если попытаться открыть сайт просто по домену, происходит редирект на Гугл – распространенная схема сокрытия фишинга и защиты от блокировки. Ну а далее все по классике: введите логин, введите пароль… Уютной тележечке мы уже помогали, поможем уютному ВКонтактику, отправим фишинг на блокировку.

Да что вы знаете о безопасности персональных данных! На сайте компании «Ситимобил» в открытом доступе лежат сканы паспортов 4 тысяч водителей! Просто кто-то решил, что, если разложить сканы по разным папочкам и запретить листинг файлов, этого будет достаточно для того, чтобы данные хранились «надежно». Но нашелся тот, кто не согласился с таким подходом, пробежался по папкам, собрал архив сканов паспортов и выложил его в общий доступ. И теперь любой желающий может «познакомиться» со своим водителем еще до поездки. P.S. Компания проводит внутреннее расследование. «По результатам расследования будет применено дисциплинарное взыскание к ответственным», — сообщили в пресс-службе.

В последние пару месяцев, а особенно недель, наблюдается масштабная волна взломов аккаунтов в Telegram. Если вы хотите узнать об этом поподробнее, то вот вам ссылка на статью в Коммерсанте, в которой все изложено весьма просто и понятно: https://www.kommersant.ru/amp/5732935 В наше поле зрения такие сайты попадают регулярно, мы не раз писали о них. Только вот если раньше они появлялись в количестве 5-8 штук в месяц, то теперь мы фиксируем подобные ресурсы ежедневно. Шаблоны достаточно типовые, но разнообразные: 12-15 активных вариантов фишинга. Свежий пример – сайты близнецы: http://telegram-premiums.ru/ http://1telegram-prems.ru/ Или еще один: http://telegrampremium.online/ Сама по себе схема максимально простая: авторизуйтесь на сайте, введите свой номер, а потом код из СМС. При этом первые два ресурса являются более продвинутыми: они автоматически проверяют, имеется ли в Telegram пользователь с таким номером телефона, а вот третий сайт просто отправляет все биороботу, который делает все вручную, считая себя крутым хакером. Впрочем, практика показывает, что иногда один биоробот заменяет собой тысячи строк кода. Вот при помощи таких элементарнейших инструментов и угоняются аккаунты. Ну а мы немного поможем уютной тележечке и отправим фишинговые сайты на блокировку. UPD: 1telegram-prems.ru - разделегирован через 13 минут telegram-premiums.ru - разделегирован через 28 минут

Сегодня расскажем о таком явлении, как продажа доступов к ресурсам государственных организаций. Обычно, если кто-то взломал какой-то государственный сервер, все это сразу списывается на деятельность каких-нибудь проправительственных или политически ангажированных хакеров. Но это далеко не всегда так. В одном из тематических каналов мы обнаружили объявление о продаже доступа к серверу, находящемуся на китайском правительственном субдомене. Цена вопроса: всего 300 долларов. А вот доступ к американскому серверу в зоне .gov оценивается всего в 150 долларов. Впрочем, серверами все не ограничивается. Тот же продавец выставляет на продажу полные доступы к почтовым ящикам в зонах: .gov.br (Бразилия) .gov.ng (Нигерия) .gov.lb (Ливан) .gov.ph (Филиппины) .gov.in (Индия) .go.id (Индонезия) .gov.co (Колумбия) Стоимость одного ящика составляет всего 30 долларов, а все вместе они предлагаются за 150. Покупатель получает возможность получать и отправлять письма, а также изучать переписку, хранящуюся в этих ящиках. Все подобные предложения объединяет одна деталь: по сути, вы покупаете кота в мешке. Опасаясь огласки и потери доступа к ресурсам, продавец не сообщает полные адреса ни ящиков, ни серверов. Этим же обусловлена и сравнительно низкая стоимость. Почему же такие объявления появляются? Все предельно просто. Вполне очевидно, что в данном случае взлом не был целевым: возможно атакующий нашел уязвимый сервер через Shodan, а пары email-пароль вытащил из баз утечек. А теперь продавец банально не знает, что делать с этими данными и пытается хоть немного на них заработать. Ну а люди, которые найдут всему этому применение, всегда найдутся.

И снова прекрасный пример того, как внезапно возникший спрос на определенные категории товаров порождает появление большого количества новых предложений, значительная часть из которых является результатом деятельности мошенников. Возьмем 5 новых сайтов, объединенных единой тематикой и принадлежащих одному владельцу: voentorg-pobedashop.ru voentorg-pobeda-shop.ru thermo-forma.ru voentorg-pobeda.ru pobeda-voentorg.ru Три из них выполнены словно под копирку и отличаются лишь деталями, такими как адреса и ИНН компаний, которым якобы принадлежат эти магазины, два других имеют иной дизайн, но примерно такую же суть. Нас часто спрашивают, как отличить фейковый магазин от настоящего, рассказываем: дьявол кроется в деталях. Например, на сайте https://voentorg-pobeda.ru/contact-us указано, что за магазином стоит ООО, но ИНН принадлежат индивидуальному предпринимателю, указанному на той же странице в качестве генерального директора. Компания якобы находится в Самаре, но телефон +7(495)65 84 25 имеет код Москвы, к тому же в нем отсутствует одна цифра, ведь московские номера семизначные. Политика обработки персональных данных скопирована с типового шаблона, который работодатель предоставляет наемному работнику, но никак не покупателю. В качестве оператора указано ООО «voentorg-pobeda», что недопустимо с точки зрения правил регистрации юрлиц в РФ. Сертификаты на продукцию давно истекли. Ну и наконец вишенка на торте: в качестве оплаты предлагается перевести деньги на счет физического лица (это для ООО!), которое судя по номеру отделения почему-то находится в Ижевске. Остальные сайты пестрят такими же неточностями. Вот и ответ на вопрос о том, как отличить созданный мошенниками интернет-магазин от настоящего. Конечно, не все фейковые магазины имеют такое количество ошибок, но просто потратив пару минут времени на проверку информации, можно оградить себя от значительной части проблем.

Оккупай педофиляй, ну а после продавай! Тесака уже давно нет, а дело его живет, причем с новым размахом. В дарке стартовал новый тренд – покупка или продажа данных педофилов для дальнейшего развода или шантажа. Причем речь идет как о данных реальных людей с девиантными наклонностями, так и о тех, кто попался на удочку: «ты написал сообщение девочке, а ей на самом деле 14 лет!». Главным спросом пользуются полные данные конкретного человека, полученные в результате деанона: ФИО, адрес, телефон и так далее. Наличие такой информации значительно повышает успех шантажа, ведь жертве можно сказать, что о ней знают буквально все. Кстати, похожие приемы в последнее время используют и телефонные мошенники, благо утечек персональных данных в этом году было так много, что пробить информацию о любителе молодежи особого труда не составляет. Можно с уверенностью сказать, что сейчас формируется целое направление криминального бизнеса, заточенное под шантаж представителей педо-сообщества. Стандартная ставка составляет 100 долларов за одного деанонимизированного персонажа, так что желающие заняться подобным OSINT-ом точно найдутся. Правда тут остается огромное поле для спекуляций и провокаций – ничто не мешает продать данные вашего недруга под видом педофила, но, как говорится, это уже совсем другая история.

На недельку до второго я уеду в Комарово! Сегодня в сеть попали данные сайта https://level.travel. Выложенный архив содержит 3 файла: сведения о клиентах, заказах и туристах. База клиентов насчитывает более миллиона строк и содержит сведения об адресах электронной почты, хэшах паролей, времени последнего входа и множество служебной информации. База туристов представляет собой массив на 980 тысяч записей с ФИО, номерами паспортов и идентификаторами заказа. Последние записи датированы 14 декабря 2022 года, так что утечка явно свежая.

После того, как мир облетела новость о том, что Павел Дуров запустил сервис по продаже виртуальных номеров и красивых имен в Telegram, мошенники оживились. Такой инфоповод упускать уж точно нельзя. И вот мир увидел сайт https://fragment.quest. Он выглядит почти как официальный ресурс https://fragment.com, но с некоторыми незначительными отличиями. Например, официальный сайт не взломает ваш криптокошелек, а этот сделан как раз для этих целей. Шаблон фейкового сайта скопирован с официального, причем скопирован весьма топорно в том плане, что большая часть ссылок на нем банально не работает. Но это и не нужно, ведь самый главный функционал кроется в том, что при попытке совершить какое-либо действие, например, подключить мессенджер Telegram или криптокошелек TON, вас попросят всего лишь… ввести секретные слова, предназначенные для восстановления доступа к кошельку в тех случаях, когда вы утратили контроль над ним. И если у вас была криптовалюта, после этого останется лишь помахать ей вслед рукой и порадоваться за того человека, которому вы обеспечили счастливое проживание на Мальдивах на ближайшие пару лет.

В общий доступ попала база данных сети магазинов «ВкусВилл». Общий размер опубликованной информации составляет 534 мегабайта в виде 30 файлов в формате JSON. Выложенные сведения включают следующую информацию: телефон и электронная почта покупателя, дата заказа, дата доставки, сумма покупки, а также последние 4 цифры номера банковской карты. Первичный анализ позволяет предположить, что речь идет об интернет-заказах. Последние заказы датированы декабрем 2022 года, так что база явно свежая. Размещенные данные ранее в сети не публиковались. P.S. «Вкусвилл» подтвердил информацию об утечке ряда данных пользователей, ведется расследование, — СМИ.

Давненько не встречался живой фишинг под Почта-банк, думали про них уже и забыли, но нет. http://p0chtabank.ru/ свеженький, без сертификата и скучный - пройдите опрос, получите деньги. Для этого укажите номер телефона, карту и введите код из смс для идентификации. Чтобы вы не переживали за безопасность своих данных - на сайте четко прописано, что при прохождение опроса вам не нужно вводить никаких паролей, а также никаких задних цифр и дат с карты. Но как всегда косяки. Комментарии в исходнике не потерли, да и футер сайта забыли переделать оставив там реквизиты Сбербанка и ссылки сберовские социальные сети.

Сегодня в сети выложили данные, предположительно принадлежащие пользователям портала Rabota.ru. Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям. Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера. Интересно выглядит и графа «зарплатные ожидания»: из 390 тысяч записей всего 615 соискателей претендуют на зарплату 100 тысяч и выше (0,15%), рекордсменом является один человек, запросивший 1 миллион. Несмотря на то, что утечка не содержит ФИО, она все равно может представлять угрозу – мошенничества, связанные с устройством на работу весьма распространены и база соискателей всегда придется к месту, ведь её можно использовать как для рассылки фишинговых писем, так и для целевых обзвонов. Ну а человек, находящийся в постоянном ожидании звонка от потенциального работодателя, всегда является лакомой жертвой. UPD. После публикации мы получили комментарий Работы.ру: Информация не соответствует действительности. «Работа.ру» хранит информацию в ином формате данных, а слитый файл представляет собой компиляцию данных из других источников. Впрочем, это не опровергает высказанную нами версию о парсинге.

Прошло 2 месяца с момента прошлой утечки покупателей DNS и вот теперь в открытом доступе список сотрудников. 150.000 записей в формате ФИО, личный номер, дата рождения, адрес магазина или должность, личный телефон. Актуальность данных указана как 19.09.2022, видимо придерживали с прошлого раза.

В январе мы писали о том, что злоумышленники стали использовать для взлома аккаунтов VK фейковые сайты, предлагающие найти на себя компромат и естественно сразу же его удалить. Но тогда мы не прикладывали скриншоты. И вот теперь у нас появилась возможность все исправить. Сайт https://searchsliv.ru сделан на том же самом шаблоне в рамках той же схемы. А схема предельно проста. Сначала вам раскрывают ужасные перспективы использования ваших данных хакерами, а потом предлагают проверить свою учетную запись, вдруг что найдется. К слову, визуально сайт сделан вполне неплохо – практически бриллиант на общем фоне халтурных скам-поделок. Естественно, компромат найдется на любой профиль ВК, даже тот, что не существует. А вот для того, чтобы его скачать, как обычно потребуется ввести логин и пароль. Ну и раз уж мы затронули тему взломов, то расскажем вам еще и о том, как угоняют учетные записи в Telegram на примере сайта https://login-telegram.ru. Тут все еще проще. Ресурс выдает себя за веб-клиент мессенджера и просит ввести сперва номер телефона, а потом код из СМС. Конец в данном случае немного предсказуем: если у жертвы не настроена двухфакторная аутентификация, её аккаунт уплывет к новому владельцу. Любопытно, что судя по строке в коде страницы, сайт был скопирован с ресурса телеграм.онлайн, так что можем смело записывать его в нашу любимую категорию #ленивыйфишинг!