https://thugcrowd.com/covid-19/
Любопытный сайт, позволяющий в режиме реального времени отслеживать появление доменных имен, эксплуатирующих тематику коронавируса.
Новый домен появляется примерно раз в 10-20 секунд, так что, посидев часик-другой, можно собрать хороший материал для исследований последних трендов коронавирусных мошенников.
@In4security
Любопытный сайт, позволяющий в режиме реального времени отслеживать появление доменных имен, эксплуатирующих тематику коронавируса.
Новый домен появляется примерно раз в 10-20 секунд, так что, посидев часик-другой, можно собрать хороший материал для исследований последних трендов коронавирусных мошенников.
@In4security
На одном совсем свежем ресурсе обнаружился архив с готовым фишинговым тулкитом для клонирования страницы авторизации Netflix. Судя по всему, архив залили на хостинг, но еще не успели распаковать. Согласно данным Virustotal, содержащиеся в архиве скрипты детектятся только четырьмя антивирусами: Dr.Web, Avast, AVG и McAfee.
Напомним, что взломанные учетки Netflix весьма ценятся на черном рынке и могут продаваться по цене от 5 до 10 долларов за штуку.
@In4security
Напомним, что взломанные учетки Netflix весьма ценятся на черном рынке и могут продаваться по цене от 5 до 10 долларов за штуку.
@In4security
Мамкины хакеры снова в бою
На карантине все развлекаются по-разному. Кто-то использует эту возможность для обучения и самосовершенствования, ну а кто-то просто тратит свое время на бессмысленную чепуху. Поговорим о последних.
Сегодня наши любимые бессмысленные и беспощадные wannabe-хакеры из THack3forU выложили на своем канале почти 600-мегабайтный архив со сканами лицензий ФСБ, выданных разным организациям, назвав это «OSINT-разведкой документов ФСБ». Честно, вот уже не знаем, плакать или смеяться…
Давайте не будем расстраивать ребят и рассказывать им о том, что подобные лицензии ФСБ являются публичными документами и их нередко выкладывают на сайтах организаций, эти лицензии получивших.
Помимо лицензий ФСБ в архиве содержатся: рекламные проспекты и презентации IT-компаний, сертификаты соответствия на всякий софт, паспорт дорожной безопасности школы из Южного Бутово, лицензия Ростехнадзора, дипломная работа какого-то студента и даже благодарственное письмо на имя Ильи Сачкова, взятое прямиком с сайта Group-IB.
По факту в этом здоровом архиве нет ни одного документа, который мог бы представлять интерес хоть для кого-то. Используя ключевые слова «Лицензия ФСБ» и сервис поиска по картинкам Яндекса или Гугла, можно набрать тонну подобного мусора минут за 20. Но вот только зачем?
@Infosecurity
На карантине все развлекаются по-разному. Кто-то использует эту возможность для обучения и самосовершенствования, ну а кто-то просто тратит свое время на бессмысленную чепуху. Поговорим о последних.
Сегодня наши любимые бессмысленные и беспощадные wannabe-хакеры из THack3forU выложили на своем канале почти 600-мегабайтный архив со сканами лицензий ФСБ, выданных разным организациям, назвав это «OSINT-разведкой документов ФСБ». Честно, вот уже не знаем, плакать или смеяться…
Давайте не будем расстраивать ребят и рассказывать им о том, что подобные лицензии ФСБ являются публичными документами и их нередко выкладывают на сайтах организаций, эти лицензии получивших.
Помимо лицензий ФСБ в архиве содержатся: рекламные проспекты и презентации IT-компаний, сертификаты соответствия на всякий софт, паспорт дорожной безопасности школы из Южного Бутово, лицензия Ростехнадзора, дипломная работа какого-то студента и даже благодарственное письмо на имя Ильи Сачкова, взятое прямиком с сайта Group-IB.
По факту в этом здоровом архиве нет ни одного документа, который мог бы представлять интерес хоть для кого-то. Используя ключевые слова «Лицензия ФСБ» и сервис поиска по картинкам Яндекса или Гугла, можно набрать тонну подобного мусора минут за 20. Но вот только зачем?
@Infosecurity
Задачка для любителей OSINT
Помимо сотен сайтов, продающих маски и антисептики с наценкой в 500%, в сети появляются и более любопытные предложения. Вот, например, активно рекламируемый на различных досках объявлений сайт https://2maski.ru. Чем он так интересен? Прежде всего схемой реализации продукции и масштабами работы.
Минимальная партия масок, которую можно заказать на сайте – 200 тысяч штук при цене 7 центов за одну маску. То есть стоимость минимальной партии – 14 тысяч долларов США или 1 миллион 120 тысяч рублей по нынешнему курсу ЦБ. При этом деньги предлагается переводить через системы переводов «Контакт» и «Колибри» как бы через гаранта. То есть указать в качестве получателя перевода своего родственника или друга, отправить скан квитанции, а после получения товара изменить получателя на нужного.
Догадались в чем подвох? Для получения перевода через «Контакт требуется знать лишь номер перевода, в случае с «Колибри» потребуется еще предъявить удостоверяющий личность документ. Так вот ФИО получателя и номер перевода как раз и написаны на тех квитанциях, сканы которых требуется прислать продавцу.
Остается лишь нанять дропа, сделать ему на нужное ФИО фейковое временное удостоверение личности 2п, столь популярное у мошенников, оформляющих дубликаты сим-карт, и идти в ближайшее отделение забирать свой миллион. Судя по отзывам в сети, таких миллионов мошенники собрали уже немало.
Ресурс висит за CloudFlare, что неудивительно, а вот домен зереген через Reg.Ru на «Chastnoe predpriyatie "Rulez”». Указанный на странице телефонный номер выпадает в привязке к аккаунту «В контакте», правда скорее всего он принадлежит бывшему владельцу номера.
Мы считаем, что люди, наживающиеся на чужом доверии в это и так непростое для всех время, заслуживаютотдельного котла деанонимизации, поэтому предлагаем нашим читателям, любителям OSINT, попытаться провести свое мини-расследование, а если оно окончится успехом, мы с удовольствием опубликуем его результаты и напишем пост во славу автора (при его желании, естественно).
@In4security
Помимо сотен сайтов, продающих маски и антисептики с наценкой в 500%, в сети появляются и более любопытные предложения. Вот, например, активно рекламируемый на различных досках объявлений сайт https://2maski.ru. Чем он так интересен? Прежде всего схемой реализации продукции и масштабами работы.
Минимальная партия масок, которую можно заказать на сайте – 200 тысяч штук при цене 7 центов за одну маску. То есть стоимость минимальной партии – 14 тысяч долларов США или 1 миллион 120 тысяч рублей по нынешнему курсу ЦБ. При этом деньги предлагается переводить через системы переводов «Контакт» и «Колибри» как бы через гаранта. То есть указать в качестве получателя перевода своего родственника или друга, отправить скан квитанции, а после получения товара изменить получателя на нужного.
Догадались в чем подвох? Для получения перевода через «Контакт требуется знать лишь номер перевода, в случае с «Колибри» потребуется еще предъявить удостоверяющий личность документ. Так вот ФИО получателя и номер перевода как раз и написаны на тех квитанциях, сканы которых требуется прислать продавцу.
Остается лишь нанять дропа, сделать ему на нужное ФИО фейковое временное удостоверение личности 2п, столь популярное у мошенников, оформляющих дубликаты сим-карт, и идти в ближайшее отделение забирать свой миллион. Судя по отзывам в сети, таких миллионов мошенники собрали уже немало.
Ресурс висит за CloudFlare, что неудивительно, а вот домен зереген через Reg.Ru на «Chastnoe predpriyatie "Rulez”». Указанный на странице телефонный номер выпадает в привязке к аккаунту «В контакте», правда скорее всего он принадлежит бывшему владельцу номера.
Мы считаем, что люди, наживающиеся на чужом доверии в это и так непростое для всех время, заслуживают
@In4security
Нетсталкеры на удаленке
На волне самоизоляции и удаленной работы все обратили внимание на сервис видеоконференций Zoom, число пользователей которого выросло с 10 до 200 миллионов всего за 3 месяца. Сервис, впрочем, оказался совершенно не готов к такому росту популярности.
В результате записи тысяч приватных видеозвонков оказались доступны онлайн. Дело в том, что в случае, если пользователь активизирует функцию записи видеозвонка, ей присваивается идентификатор, который достаточно легко нагуглить или выяснить перебором. Подобная проблема существует и с некоторыми популярными файлообменными сервисами, позволяющими подобрать уникальную ссылку для доступа к файлу методом простого перебора.
Zoom не считает происходящее проблемой, а его представители заявляют о том, что с безопасностью у них все в порядке. Тем временем на YouTube массово появляются видеозаписи корпоративных совещаний, общения с врачами и сеансами психотерапии, содержащие персональные данные пользователей Zoom.
@In4security
На волне самоизоляции и удаленной работы все обратили внимание на сервис видеоконференций Zoom, число пользователей которого выросло с 10 до 200 миллионов всего за 3 месяца. Сервис, впрочем, оказался совершенно не готов к такому росту популярности.
В результате записи тысяч приватных видеозвонков оказались доступны онлайн. Дело в том, что в случае, если пользователь активизирует функцию записи видеозвонка, ей присваивается идентификатор, который достаточно легко нагуглить или выяснить перебором. Подобная проблема существует и с некоторыми популярными файлообменными сервисами, позволяющими подобрать уникальную ссылку для доступа к файлу методом простого перебора.
Zoom не считает происходящее проблемой, а его представители заявляют о том, что с безопасностью у них все в порядке. Тем временем на YouTube массово появляются видеозаписи корпоративных совещаний, общения с врачами и сеансами психотерапии, содержащие персональные данные пользователей Zoom.
@In4security
Пока все сидят на самоизоляции мошенники предлагают записаться на вебинар от имени Сбербанка на сайте http://szb-webinar-sberbank.ru/.
Особенно радует политика конфиденциальности при обработке ПД на латыни.
@In4security
Особенно радует политика конфиденциальности при обработке ПД на латыни.
@In4security
На волне коронавируса повышается спрос на разные, иногда неожиданные товары. Сейчас, вот, все стали килограммами есть имбирь, цены на него подскочили и этим тут же воспользовались очередные мошенники.
На сайте http://imbirshop.ru/ собраны воедино практически все популярные маркеры мошеннического ресурса: обратный отсчет, форма для связи и реквизиты компании, прикрепленные в виде картинки.
А что там в реквизитах? А в реквизитах ООО «1001 товар», ИНН 7801416638, которое было ликвидировано еще в 2018 году.
@In4security
На сайте http://imbirshop.ru/ собраны воедино практически все популярные маркеры мошеннического ресурса: обратный отсчет, форма для связи и реквизиты компании, прикрепленные в виде картинки.
А что там в реквизитах? А в реквизитах ООО «1001 товар», ИНН 7801416638, которое было ликвидировано еще в 2018 году.
@In4security
Вы думали, что это все? А вот и нет. Сохраним картинку с реквизитами и загуглим…
Имбирь превращается… в Гарри Поттера со скидкой в 34% на сайте https://mypotter.ru/. Дело пахнет оборотным зельем. Тем более, что в отзывах довольных клиентов любительница имбиря Елена из Санкт-Петербурга таким же волшебным образом превратилась в Марию из г. Пермь, преданного фаната поттерианы.
@In4security
Имбирь превращается… в Гарри Поттера со скидкой в 34% на сайте https://mypotter.ru/. Дело пахнет оборотным зельем. Тем более, что в отзывах довольных клиентов любительница имбиря Елена из Санкт-Петербурга таким же волшебным образом превратилась в Марию из г. Пермь, преданного фаната поттерианы.
@In4security
https://te.legra.ph/Maski-sbrosheny-04-08
В конце прошлой недели мы рассказали о мошенническом сайте, предназначенном для продажи медицинских масок, и предложили нашим подписчикам провести свое мини-расследование.
Несмотря на то, что некоторые люди усомнились в успехе данного мероприятия, коллеги с канала Утечки информации приняли наш вызов и отмониторили основные контактные данные мошенников.
Ну а дальше в дело включились мы и раскрутили целую детективную историю.
О том, что роднит продавцов масок с квартирными аферистами, читайте в нашем эксклюзивном материале «Маски сброшены».
@In4security
В конце прошлой недели мы рассказали о мошенническом сайте, предназначенном для продажи медицинских масок, и предложили нашим подписчикам провести свое мини-расследование.
Несмотря на то, что некоторые люди усомнились в успехе данного мероприятия, коллеги с канала Утечки информации приняли наш вызов и отмониторили основные контактные данные мошенников.
Ну а дальше в дело включились мы и раскрутили целую детективную историю.
О том, что роднит продавцов масок с квартирными аферистами, читайте в нашем эксклюзивном материале «Маски сброшены».
@In4security
Telegraph
Маски сброшены
В трудные моменты общество делится на две категории. Одни люди стремятся помочь ближним, чтобы совместными усилиями как можно скорее и эффективнее преодолеть трудности. А другие используют критическую ситуацию исключительно для наживы. И их ничуть не волнует…
В то время как mos.ru не выдерживает наплыва посетителей, некие предприимчивые граждане создали сайт https://propuski-spravki.ru/.
Шаблон и половина текста явно передраны с какого-то другого ресурса, в лучших традициях указан фейковый адрес, а в соглашении об обработке персональных данных оператор просто не указан: ну обрабатывает кто-то, какая разница.
Прогнозируем увеличение числа подобных ресурсов, а также фишинговых сайтов, имитирующих портал госуслуг и mos.ru.
@In4security
Шаблон и половина текста явно передраны с какого-то другого ресурса, в лучших традициях указан фейковый адрес, а в соглашении об обработке персональных данных оператор просто не указан: ну обрабатывает кто-то, какая разница.
Прогнозируем увеличение числа подобных ресурсов, а также фишинговых сайтов, имитирующих портал госуслуг и mos.ru.
@In4security
Все наверняка читали про смски с требованием оплатить штраф за нарушение режима самоизоляции.
А вот сайт http://esla-gosuslugi.ru/ предлагает более элегантный (несмотря на всю топорность его исполнения) подход. Скорее всего ссылка на него распространяется в фишинговых электронных письмах.
Что характерно, сайт спокойно лежит на российском хостинге, а домен зарегистрирован через российского регистратора.
@In4security
А вот сайт http://esla-gosuslugi.ru/ предлагает более элегантный (несмотря на всю топорность его исполнения) подход. Скорее всего ссылка на него распространяется в фишинговых электронных письмах.
Что характерно, сайт спокойно лежит на российском хостинге, а домен зарегистрирован через российского регистратора.
@In4security
Большая часть фишинговых сайтов, связанных с Почтой России, используется в процессе мошенничеств на Авито и Юле. Эти схемы предельно просты и распространяются по системе Cybercrime as a service, благодаря чему количество активных фишинговых сайтов исчисляется многими десятками.
Сайт oplatarec.ru – это другой случай. Тут мы видим очередную реинкарнацию схемы «вам положена выплата», «лайк года» и т.д. Ссылки на такие сайты в изобилии можно найти у себя в спаме.
Похоже, что малолетние скамеры совсем обленились на самоизоляции, ведь сайт – откровенная халтура. Все данные на нем статические, указанного адреса не существует в природе, контактные данные указаны абы как. Клюнуть на такое можно только от полного отчаяния.
@In4security
Сайт oplatarec.ru – это другой случай. Тут мы видим очередную реинкарнацию схемы «вам положена выплата», «лайк года» и т.д. Ссылки на такие сайты в изобилии можно найти у себя в спаме.
Похоже, что малолетние скамеры совсем обленились на самоизоляции, ведь сайт – откровенная халтура. Все данные на нем статические, указанного адреса не существует в природе, контактные данные указаны абы как. Клюнуть на такое можно только от полного отчаяния.
@In4security
Особенно трогательным видится отказ от ответственности в стиле «Я у мамы юрист».
Сайт зарегистрирован через российского регистратора R01, хостится тоже в России – у Авгуро Технолоджис. Ну хоть сертификат от Let’s Encrypt сумели прикрутить.
@In4security
Сайт зарегистрирован через российского регистратора R01, хостится тоже в России – у Авгуро Технолоджис. Ну хоть сертификат от Let’s Encrypt сумели прикрутить.
@In4security
Попытка заказать доставку денег курьером отправляет нас прямиком в прошлое, в 7 апреля, но это мелочи, ведь форму оплаты к сайту так пока и не прикрутили. Путь к ней пока прописан просто «ссылка 1» и «ссылка 2».
Это означает, что сайт пока еще не работает. Отличная возможность убить его до того, как кто-то на него поведется.
@In4security
Это означает, что сайт пока еще не работает. Отличная возможность убить его до того, как кто-то на него поведется.
@In4security
Не знаем, читают ли представители Государственного бюджетного учреждения Астраханской области «Инфраструктурный центр электронного правительства» наш канал, но тут кто-то скопировал их официальный сайт для получения пропуска на период карантина.
Сайт propusk.astrobl.ru.com отличается от настоящего лишь .com на конце. Что характерно, по адресу astrobl.ru.com откроется та же самая страница.
Ресурс зарегистрирован 19 апреля через Reg.Ru с подключенной услугой сокрытия данных владельца, хостится там же. В общем, можете быть спокойны, персональные данные хранятся и обрабатываются в России. Однако, учитывая тот объем сведений, которые требуется ввести для оформления пропуска, сайт может представлять реальную угрозу.
@In4security
Сайт propusk.astrobl.ru.com отличается от настоящего лишь .com на конце. Что характерно, по адресу astrobl.ru.com откроется та же самая страница.
Ресурс зарегистрирован 19 апреля через Reg.Ru с подключенной услугой сокрытия данных владельца, хостится там же. В общем, можете быть спокойны, персональные данные хранятся и обрабатываются в России. Однако, учитывая тот объем сведений, которые требуется ввести для оформления пропуска, сайт может представлять реальную угрозу.
@In4security
И еще немного об Астраханской области. Сайт www.propuskastrobl.ru еще интереснее. Тут не надо ничего вводить, он сам демонстрирует персональные данные астраханцев и причину их выхода из дома. Данные периодически меняются, мы проверяли.
Регистратор тут тоже российский, а вот хостинг аж сам Гугл. Цель создания ресурса пока не слишком понятна. Может подписчики подскажут?
@In4security
Регистратор тут тоже российский, а вот хостинг аж сам Гугл. Цель создания ресурса пока не слишком понятна. Может подписчики подскажут?
@In4security
В открытом доступе оказалась база данных интернет-провайдера QWERTY.
База, насчитывающая более 43 тысяч строк, распространяется в виде текстового файла, содержащего ФИО, адрес, телефон, номер договора и дату заявки на подключение с комментариями.
Файл охватывает диапазон с сентября 2013 по май 2015 года.
Судя по его содержимому, за это время было подключено 18 с половиной тысяч абонентов, а в 16 тысячах случаев в строке «Инфо подключения» значится отказ.
Теперь вы знаете, где берут информацию люди, названивающие вам с предложением сменить провайдера, и отвечающие на вопрос, откуда у них ваш телефон, многозначительным: «из открытых источников».
@In4security
База, насчитывающая более 43 тысяч строк, распространяется в виде текстового файла, содержащего ФИО, адрес, телефон, номер договора и дату заявки на подключение с комментариями.
Файл охватывает диапазон с сентября 2013 по май 2015 года.
Судя по его содержимому, за это время было подключено 18 с половиной тысяч абонентов, а в 16 тысячах случаев в строке «Инфо подключения» значится отказ.
Теперь вы знаете, где берут информацию люди, названивающие вам с предложением сменить провайдера, и отвечающие на вопрос, откуда у них ваш телефон, многозначительным: «из открытых источников».
@In4security
На фоне удаленной работы у мошенников проснулся интерес к порталу Госуслуг. Так в январе и феврале появилось 12 фейковых сайтов портала, а всего за месяц всеобщей самоизоляции – уже 34 – буквально по сайту в день.
Всего несколько дней назад появился (и вскоре исчез) сайт esla-gosuslugi.ru, нехитрым образом пытавшийся стрясти с доверчивых граждан деньги за нарушение режима самоизоляции.
А сегодня на обнаружился сайт gosuslugi.support, предлагающий в онлайн-режиме решить проблемы с доступом к порталу госуслуг. Сайт еще не доделан, так что наши подписчики получают уникальную возможность следить за развитием этого проекта в режиме реального времени.
Хотя его создатели могут особо и не развивать сайт. Такой домен очень удобен, скажем, для рассылки фишинговых писем от имени портала… Верите ли вы, что кто-то и вправду решил создать ресурс для того, чтобы помочь тем, кто не в состоянии залогиниться на госуслуги? Мы – не особенно.
@In4security
Всего несколько дней назад появился (и вскоре исчез) сайт esla-gosuslugi.ru, нехитрым образом пытавшийся стрясти с доверчивых граждан деньги за нарушение режима самоизоляции.
А сегодня на обнаружился сайт gosuslugi.support, предлагающий в онлайн-режиме решить проблемы с доступом к порталу госуслуг. Сайт еще не доделан, так что наши подписчики получают уникальную возможность следить за развитием этого проекта в режиме реального времени.
Хотя его создатели могут особо и не развивать сайт. Такой домен очень удобен, скажем, для рассылки фишинговых писем от имени портала… Верите ли вы, что кто-то и вправду решил создать ресурс для того, чтобы помочь тем, кто не в состоянии залогиниться на госуслуги? Мы – не особенно.
@In4security
Привычные мошеннические схемы с опросами и социальными выплатами активно развиваются. На этой неделе в сети появился ресурс, предлагающий всем желающим финансовую помощь в борьбе с пандемией.
Рассмотрим сайт поближе!
https://te.legra.ph/Koronnyj-udar-04-23
@in4security
Рассмотрим сайт поближе!
https://te.legra.ph/Koronnyj-udar-04-23
@in4security
Telegraph
Коронный удар
В последний год-полтора в сети активизировались мошенники, предлагающие различного рода социальные выплаты. Вариантов реализации схемы довольно много, в коллекции нашего Telegram-канала имеются десятки подобных сайтов. Так что неудивительно, что теперь мошенники…
Количество зарегистрированных преступлений в сфере информации и телекоммуникаций растет огромными темпами. Но число их увеличивается не за счет «хакерских» статей, а прежде всего за счет 159 статьи УК РФ – мошенничества.
В связи с большим количеством вопросов на эту тему мы решили подготовить цикл материалов о наиболее распространенных видах мошенничеств в сети. И начнем мы с критериев выявления потенциально недобросовестного интернет-магазина. Тем более, что и повод отличный подвернулся.
Даже если все то, что изложено в статье, является для вас азбучными истинами, возможно она поможет вашим родственникам, друзьям и знакомым.
Итак, отправляемся покупать новый айфон по весьма привлекательной цене!
https://te.legra.ph/Nepravilnye-pchely-i-gde-oni-obitayut-04-24
@In4security
В связи с большим количеством вопросов на эту тему мы решили подготовить цикл материалов о наиболее распространенных видах мошенничеств в сети. И начнем мы с критериев выявления потенциально недобросовестного интернет-магазина. Тем более, что и повод отличный подвернулся.
Даже если все то, что изложено в статье, является для вас азбучными истинами, возможно она поможет вашим родственникам, друзьям и знакомым.
Итак, отправляемся покупать новый айфон по весьма привлекательной цене!
https://te.legra.ph/Nepravilnye-pchely-i-gde-oni-obitayut-04-24
@In4security
Telegraph
Неправильные пчелы и где они обитают
К нам часто обращаются с просьбой дать совет, как отличить нормальный интернет магазин от ненормального. Мы специально не называем интернет-магазин мошенническим, ведь признать кого-то мошенником может только суд. Поэтому будем использовать разные эпитеты:…
👍1