Большая часть фишинговых сайтов, связанных с Почтой России, используется в процессе мошенничеств на Авито и Юле. Эти схемы предельно просты и распространяются по системе Cybercrime as a service, благодаря чему количество активных фишинговых сайтов исчисляется многими десятками.
Сайт oplatarec.ru – это другой случай. Тут мы видим очередную реинкарнацию схемы «вам положена выплата», «лайк года» и т.д. Ссылки на такие сайты в изобилии можно найти у себя в спаме.
Похоже, что малолетние скамеры совсем обленились на самоизоляции, ведь сайт – откровенная халтура. Все данные на нем статические, указанного адреса не существует в природе, контактные данные указаны абы как. Клюнуть на такое можно только от полного отчаяния.
@In4security
Сайт oplatarec.ru – это другой случай. Тут мы видим очередную реинкарнацию схемы «вам положена выплата», «лайк года» и т.д. Ссылки на такие сайты в изобилии можно найти у себя в спаме.
Похоже, что малолетние скамеры совсем обленились на самоизоляции, ведь сайт – откровенная халтура. Все данные на нем статические, указанного адреса не существует в природе, контактные данные указаны абы как. Клюнуть на такое можно только от полного отчаяния.
@In4security
Особенно трогательным видится отказ от ответственности в стиле «Я у мамы юрист».
Сайт зарегистрирован через российского регистратора R01, хостится тоже в России – у Авгуро Технолоджис. Ну хоть сертификат от Let’s Encrypt сумели прикрутить.
@In4security
Сайт зарегистрирован через российского регистратора R01, хостится тоже в России – у Авгуро Технолоджис. Ну хоть сертификат от Let’s Encrypt сумели прикрутить.
@In4security
Попытка заказать доставку денег курьером отправляет нас прямиком в прошлое, в 7 апреля, но это мелочи, ведь форму оплаты к сайту так пока и не прикрутили. Путь к ней пока прописан просто «ссылка 1» и «ссылка 2».
Это означает, что сайт пока еще не работает. Отличная возможность убить его до того, как кто-то на него поведется.
@In4security
Это означает, что сайт пока еще не работает. Отличная возможность убить его до того, как кто-то на него поведется.
@In4security
Не знаем, читают ли представители Государственного бюджетного учреждения Астраханской области «Инфраструктурный центр электронного правительства» наш канал, но тут кто-то скопировал их официальный сайт для получения пропуска на период карантина.
Сайт propusk.astrobl.ru.com отличается от настоящего лишь .com на конце. Что характерно, по адресу astrobl.ru.com откроется та же самая страница.
Ресурс зарегистрирован 19 апреля через Reg.Ru с подключенной услугой сокрытия данных владельца, хостится там же. В общем, можете быть спокойны, персональные данные хранятся и обрабатываются в России. Однако, учитывая тот объем сведений, которые требуется ввести для оформления пропуска, сайт может представлять реальную угрозу.
@In4security
Сайт propusk.astrobl.ru.com отличается от настоящего лишь .com на конце. Что характерно, по адресу astrobl.ru.com откроется та же самая страница.
Ресурс зарегистрирован 19 апреля через Reg.Ru с подключенной услугой сокрытия данных владельца, хостится там же. В общем, можете быть спокойны, персональные данные хранятся и обрабатываются в России. Однако, учитывая тот объем сведений, которые требуется ввести для оформления пропуска, сайт может представлять реальную угрозу.
@In4security
И еще немного об Астраханской области. Сайт www.propuskastrobl.ru еще интереснее. Тут не надо ничего вводить, он сам демонстрирует персональные данные астраханцев и причину их выхода из дома. Данные периодически меняются, мы проверяли.
Регистратор тут тоже российский, а вот хостинг аж сам Гугл. Цель создания ресурса пока не слишком понятна. Может подписчики подскажут?
@In4security
Регистратор тут тоже российский, а вот хостинг аж сам Гугл. Цель создания ресурса пока не слишком понятна. Может подписчики подскажут?
@In4security
В открытом доступе оказалась база данных интернет-провайдера QWERTY.
База, насчитывающая более 43 тысяч строк, распространяется в виде текстового файла, содержащего ФИО, адрес, телефон, номер договора и дату заявки на подключение с комментариями.
Файл охватывает диапазон с сентября 2013 по май 2015 года.
Судя по его содержимому, за это время было подключено 18 с половиной тысяч абонентов, а в 16 тысячах случаев в строке «Инфо подключения» значится отказ.
Теперь вы знаете, где берут информацию люди, названивающие вам с предложением сменить провайдера, и отвечающие на вопрос, откуда у них ваш телефон, многозначительным: «из открытых источников».
@In4security
База, насчитывающая более 43 тысяч строк, распространяется в виде текстового файла, содержащего ФИО, адрес, телефон, номер договора и дату заявки на подключение с комментариями.
Файл охватывает диапазон с сентября 2013 по май 2015 года.
Судя по его содержимому, за это время было подключено 18 с половиной тысяч абонентов, а в 16 тысячах случаев в строке «Инфо подключения» значится отказ.
Теперь вы знаете, где берут информацию люди, названивающие вам с предложением сменить провайдера, и отвечающие на вопрос, откуда у них ваш телефон, многозначительным: «из открытых источников».
@In4security
На фоне удаленной работы у мошенников проснулся интерес к порталу Госуслуг. Так в январе и феврале появилось 12 фейковых сайтов портала, а всего за месяц всеобщей самоизоляции – уже 34 – буквально по сайту в день.
Всего несколько дней назад появился (и вскоре исчез) сайт esla-gosuslugi.ru, нехитрым образом пытавшийся стрясти с доверчивых граждан деньги за нарушение режима самоизоляции.
А сегодня на обнаружился сайт gosuslugi.support, предлагающий в онлайн-режиме решить проблемы с доступом к порталу госуслуг. Сайт еще не доделан, так что наши подписчики получают уникальную возможность следить за развитием этого проекта в режиме реального времени.
Хотя его создатели могут особо и не развивать сайт. Такой домен очень удобен, скажем, для рассылки фишинговых писем от имени портала… Верите ли вы, что кто-то и вправду решил создать ресурс для того, чтобы помочь тем, кто не в состоянии залогиниться на госуслуги? Мы – не особенно.
@In4security
Всего несколько дней назад появился (и вскоре исчез) сайт esla-gosuslugi.ru, нехитрым образом пытавшийся стрясти с доверчивых граждан деньги за нарушение режима самоизоляции.
А сегодня на обнаружился сайт gosuslugi.support, предлагающий в онлайн-режиме решить проблемы с доступом к порталу госуслуг. Сайт еще не доделан, так что наши подписчики получают уникальную возможность следить за развитием этого проекта в режиме реального времени.
Хотя его создатели могут особо и не развивать сайт. Такой домен очень удобен, скажем, для рассылки фишинговых писем от имени портала… Верите ли вы, что кто-то и вправду решил создать ресурс для того, чтобы помочь тем, кто не в состоянии залогиниться на госуслуги? Мы – не особенно.
@In4security
Привычные мошеннические схемы с опросами и социальными выплатами активно развиваются. На этой неделе в сети появился ресурс, предлагающий всем желающим финансовую помощь в борьбе с пандемией.
Рассмотрим сайт поближе!
https://te.legra.ph/Koronnyj-udar-04-23
@in4security
Рассмотрим сайт поближе!
https://te.legra.ph/Koronnyj-udar-04-23
@in4security
Telegraph
Коронный удар
В последний год-полтора в сети активизировались мошенники, предлагающие различного рода социальные выплаты. Вариантов реализации схемы довольно много, в коллекции нашего Telegram-канала имеются десятки подобных сайтов. Так что неудивительно, что теперь мошенники…
Количество зарегистрированных преступлений в сфере информации и телекоммуникаций растет огромными темпами. Но число их увеличивается не за счет «хакерских» статей, а прежде всего за счет 159 статьи УК РФ – мошенничества.
В связи с большим количеством вопросов на эту тему мы решили подготовить цикл материалов о наиболее распространенных видах мошенничеств в сети. И начнем мы с критериев выявления потенциально недобросовестного интернет-магазина. Тем более, что и повод отличный подвернулся.
Даже если все то, что изложено в статье, является для вас азбучными истинами, возможно она поможет вашим родственникам, друзьям и знакомым.
Итак, отправляемся покупать новый айфон по весьма привлекательной цене!
https://te.legra.ph/Nepravilnye-pchely-i-gde-oni-obitayut-04-24
@In4security
В связи с большим количеством вопросов на эту тему мы решили подготовить цикл материалов о наиболее распространенных видах мошенничеств в сети. И начнем мы с критериев выявления потенциально недобросовестного интернет-магазина. Тем более, что и повод отличный подвернулся.
Даже если все то, что изложено в статье, является для вас азбучными истинами, возможно она поможет вашим родственникам, друзьям и знакомым.
Итак, отправляемся покупать новый айфон по весьма привлекательной цене!
https://te.legra.ph/Nepravilnye-pchely-i-gde-oni-obitayut-04-24
@In4security
Telegraph
Неправильные пчелы и где они обитают
К нам часто обращаются с просьбой дать совет, как отличить нормальный интернет магазин от ненормального. Мы специально не называем интернет-магазин мошенническим, ведь признать кого-то мошенником может только суд. Поэтому будем использовать разные эпитеты:…
👍1
А как вам такое: фишинговый сайт регистратора доменных имен РЕГ.РУ, доменное имя которого зарегистрировано через РЕГ.РУ.
Домен: login-reg.ru – совсем ничего подозрительного, не правда ли?
@In4security
Домен: login-reg.ru – совсем ничего подозрительного, не правда ли?
@In4security
Повышенный спрос на услуги доставки приводит к появлению весьма любопытных сайтов. Например, https://rocket-delivery.ru/.
Сайт позиционирует себя в качестве сервиса от команды Рокетбанка, который позволяет формировать задания для курьеров и оплачивать их услуги. В описании сказано, что, нажимая на кнопку, клиент попадает в панель администратора, в которой можно задать необходимые параметры и создать задание. По факту никакого личного кабинета нет. Вам просто предлагают ввести данные и переадресовывают на страницу оплаты на сайте Рокетбанка: https://rocketbank.ru/fastriver.
Все это выглядит предельно странно. Механизм авторизации отсутствует как таковой. Сведения об организации тоже. Для связи предлагается использовать Telegram. Форма оплаты также вызывает вопросы. В частности, логотип FastRiver вырезан неровно, а поиск по картинкам результатов не приносит.
В общем, не знаем, что там с доставкой, но деньги кому-то перечислить можно. Только вот кому?
@In4security
Сайт позиционирует себя в качестве сервиса от команды Рокетбанка, который позволяет формировать задания для курьеров и оплачивать их услуги. В описании сказано, что, нажимая на кнопку, клиент попадает в панель администратора, в которой можно задать необходимые параметры и создать задание. По факту никакого личного кабинета нет. Вам просто предлагают ввести данные и переадресовывают на страницу оплаты на сайте Рокетбанка: https://rocketbank.ru/fastriver.
Все это выглядит предельно странно. Механизм авторизации отсутствует как таковой. Сведения об организации тоже. Для связи предлагается использовать Telegram. Форма оплаты также вызывает вопросы. В частности, логотип FastRiver вырезан неровно, а поиск по картинкам результатов не приносит.
В общем, не знаем, что там с доставкой, но деньги кому-то перечислить можно. Только вот кому?
@In4security
В общий доступ попала база данных соискателей работы с сайта career.habr.com
В файле содержится 165773 записи, в то время как на самом Хабре сейчас размещено всего 148589 резюме, что может свидетельствовать о том, что база собиралась в течение продолжительного времени и содержит сведения в том числе и об учетных записях, которые уже не активны.
Пожалуй, главная ее ценность заключается в контактных данных, которые на сайте Хабра по умолчанию скрыты. У некоторых пользователей помимо телефона и адреса электронной почты указаны ссылки на профили в соцсетях и аккаунты в Telegram. Так что возможно кого-нибудь с ее помощью еще деанонимизируют.
Теперь мошенникам станет еще проще обманывать различных фрилансеров.
@In4security
В файле содержится 165773 записи, в то время как на самом Хабре сейчас размещено всего 148589 резюме, что может свидетельствовать о том, что база собиралась в течение продолжительного времени и содержит сведения в том числе и об учетных записях, которые уже не активны.
Пожалуй, главная ее ценность заключается в контактных данных, которые на сайте Хабра по умолчанию скрыты. У некоторых пользователей помимо телефона и адреса электронной почты указаны ссылки на профили в соцсетях и аккаунты в Telegram. Так что возможно кого-нибудь с ее помощью еще деанонимизируют.
Теперь мошенникам станет еще проще обманывать различных фрилансеров.
@In4security
Учетки Вконтакте угоняют с завидной регулярностью. Как? Да, например, вот так. Сайт vklogin-check.site – фишинговый ресурс, который сначала просит ввести email под видом заботы о безопасности, а потом предлагает поменять пароль, то есть ввести сперва старый, а потом новый пароль.
Злоумышленники даже поленились сделать нормальный ссылки в футере страницы. Все они имеют значение "javanoscript:void(0)".
Способ старый, но до сих пор действенный. Ну и вообще все в лучших традициях: сайт за Cloudflare, регистратор домена российский. Если откроете код страницы, увидите весь скрипт, отвечающий за работу фишинговой формы.
@In4security
Злоумышленники даже поленились сделать нормальный ссылки в футере страницы. Все они имеют значение "javanoscript:void(0)".
Способ старый, но до сих пор действенный. Ну и вообще все в лучших традициях: сайт за Cloudflare, регистратор домена российский. Если откроете код страницы, увидите весь скрипт, отвечающий за работу фишинговой формы.
@In4security
Сайт propysk .ru, предлагавший оформить удостоверения врача или фармацевта для перемещения по городу, возродился аки феникс из пепла блокировки на домене propusk-karantin.me.
При попытке заказать пропуск скрипт крашится, однако, из его кода понятно, что следующим шагом после ввода персональных данных будет оплата услуг путем перевода денег с карты на Яндекс-кошелек 4100112008166556. Ну а дальше и пояснять нечего: зачем отправлять кому-то поддельные документы, если он уже перевел деньги…
@In4security
При попытке заказать пропуск скрипт крашится, однако, из его кода понятно, что следующим шагом после ввода персональных данных будет оплата услуг путем перевода денег с карты на Яндекс-кошелек 4100112008166556. Ну а дальше и пояснять нечего: зачем отправлять кому-то поддельные документы, если он уже перевел деньги…
@In4security
В сети появилось объявление о продаже списка российских граждан, находящихся за границей в ожидании эвакуации на родину.
Согласно тексту объявления, список используется для выплаты материальной помощи. Автор заявляет, что список выверен ГИАЦ МВД и погранслужбой и содержит ФИО, данные российского и загранпаспортов, даты рождения, адреса, даты выезда за границу, телефоны, адреса электронной почты и сведения о банковских картах и расчетных счетах.
Файл содержит примерно 80 тысяч строк и продается за… 240 тысяч долларов, что составляет примерно 17,5 миллионов рублей. На первый взгляд эта сумма кажется запредельной, но только на первый, так как содержащихся в базе сведений достаточно для реализации целого букета криминальных схем.
Модератор форума, на котором размещено объявление уже подтвердил достоверность продаваемых данных.
В этих условиях самым правильным решением было бы как минимум заблокировать все карты, указанные в файле (думаем, что раз этот список оказался в продаже, то в госорганах, откуда он утек, он уж тем более имеется), только вот эта мера приведет к тому, что наши сограждане, застрявшие в других странах, останутся совсем без средств к существованию. Куда проще было бы не допускать утечки, но теперь об этом говорить поздно.
@In4security
Согласно тексту объявления, список используется для выплаты материальной помощи. Автор заявляет, что список выверен ГИАЦ МВД и погранслужбой и содержит ФИО, данные российского и загранпаспортов, даты рождения, адреса, даты выезда за границу, телефоны, адреса электронной почты и сведения о банковских картах и расчетных счетах.
Файл содержит примерно 80 тысяч строк и продается за… 240 тысяч долларов, что составляет примерно 17,5 миллионов рублей. На первый взгляд эта сумма кажется запредельной, но только на первый, так как содержащихся в базе сведений достаточно для реализации целого букета криминальных схем.
Модератор форума, на котором размещено объявление уже подтвердил достоверность продаваемых данных.
В этих условиях самым правильным решением было бы как минимум заблокировать все карты, указанные в файле (думаем, что раз этот список оказался в продаже, то в госорганах, откуда он утек, он уж тем более имеется), только вот эта мера приведет к тому, что наши сограждане, застрявшие в других странах, останутся совсем без средств к существованию. Куда проще было бы не допускать утечки, но теперь об этом говорить поздно.
@In4security
Зачем нужно отслеживать активность на старых доменах, на которых, как кажется, ничего не происходит?
Вот вам пример. 4 февраля этого года был зарегистрирован домен vkusviii.ru. Своего часа он ждал аж 3 месяца. Перед самыми майскими праздниками на нем появился фейковый сайт магазинов «ВкусВилл», на котором предлагается получить 2020 бонусных баллов. Сайт предлагает пользователю ввести сначала номер телефона, а потом код из СМС-сообщения. Ну а потом… Прощай доступ к личному кабинету.
Ссылка на фишинговый сайт распространяется при помощи рассылок в мессенджерах. Ресурс хостится в России и имеет SSL-сертификат Let’s Encrypt, выданный 27 апреля.
@In4security
Вот вам пример. 4 февраля этого года был зарегистрирован домен vkusviii.ru. Своего часа он ждал аж 3 месяца. Перед самыми майскими праздниками на нем появился фейковый сайт магазинов «ВкусВилл», на котором предлагается получить 2020 бонусных баллов. Сайт предлагает пользователю ввести сначала номер телефона, а потом код из СМС-сообщения. Ну а потом… Прощай доступ к личному кабинету.
Ссылка на фишинговый сайт распространяется при помощи рассылок в мессенджерах. Ресурс хостится в России и имеет SSL-сертификат Let’s Encrypt, выданный 27 апреля.
@In4security
К слову, это далеко не единственный вредоносный сайт, эксплуатирующий бренд «ВкусВилл». На сайте vkusvill-dostavka.com, например, предлагают доставку товаров на дом. Оплачивать заказ предлагается банковской картой на чудесном ресурсе https://goods4you.tix-system.com/payment/pay_by_link/177936/, а сведения о компании отсутствуют напрочь. Еще один сайт со схожим доменом и таким же шаблоном пока находится в зачаточном состоянии.
@In4security
@In4security
Не пьянства ради, а ознакомления для
В условиях всеобщей изоляции стали активно плодиться сайты, предлагающие доставку алкоголя на дом. Только в апреле таких ресурсов появилось более 200 и число их увеличивается с каждым днем.
Проблема лишь в том, что официально в России дистанционная продажа алкоголя запрещена. Но продавцы идут на разные уловки. Например, появившийся 4 дня назад магазин «Азбука градусов» (azbukagradusov3.site), творчески переосмысливший логотип «Азбуки вкуса», сообщает, что покупатель приобретает декоративный магнит алкогольной тематики, а бутылка идет в подарок и предназначается исключительно для ознакомительных целей. Ну и вишенка на торте: оплачивать заказ предлагается через «Сбербанк.Онлайн» переводом денег на карту частному лицу.
Естественно, покупатель не получит ни чека, ни вообще каких-либо гарантий того, что ему привезут не какую-нибудь бормотуху. Каких -либо контактных данных кроме телефона на сайте не найти. Кстати, цифра 3 в доменном имени неспроста, сайт уже несколько раз переезжал с места на место, а часть его старых реинкарнаций уже заблокирована Роскомнадзором.
@In4security
В условиях всеобщей изоляции стали активно плодиться сайты, предлагающие доставку алкоголя на дом. Только в апреле таких ресурсов появилось более 200 и число их увеличивается с каждым днем.
Проблема лишь в том, что официально в России дистанционная продажа алкоголя запрещена. Но продавцы идут на разные уловки. Например, появившийся 4 дня назад магазин «Азбука градусов» (azbukagradusov3.site), творчески переосмысливший логотип «Азбуки вкуса», сообщает, что покупатель приобретает декоративный магнит алкогольной тематики, а бутылка идет в подарок и предназначается исключительно для ознакомительных целей. Ну и вишенка на торте: оплачивать заказ предлагается через «Сбербанк.Онлайн» переводом денег на карту частному лицу.
Естественно, покупатель не получит ни чека, ни вообще каких-либо гарантий того, что ему привезут не какую-нибудь бормотуху. Каких -либо контактных данных кроме телефона на сайте не найти. Кстати, цифра 3 в доменном имени неспроста, сайт уже несколько раз переезжал с места на место, а часть его старых реинкарнаций уже заблокирована Роскомнадзором.
@In4security
Онлайн-доступ к базе данных СДЭК, содержащей сведения о более, чем 9 миллионах клиентов службы доставки, продается в сети всего за 70 тысяч рублей. Подробности в нашем новом материале.
https://te.legra.ph/Posylka-s-dvojnym-dnom-05-08
@In4security
https://te.legra.ph/Posylka-s-dvojnym-dnom-05-08
@In4security
Telegraph
Посылка с двойным дном
Иногда бывает так, что в компании и вокруг нее уже довольно давно происходят совершенно нездоровые вещи, но сама организация остается в полном неведении относительно происходящего. Думаете, такого не бывает? Еще как бывает. Даже в такой крупной транспортно…
В сети выставили на продажу базу данных биржи фрилансеров – peopleperhour.com.
Продавец обещает предоставить данные 5 миллионов аккаунтов, более миллиарда приватных сообщений, персональные данные участников проекта, телефоны, адреса электронной почты, хэши паролей и секретные вопросы.
В этой истории интересны 2 момента. Первый заключается в том, что покупатель базы получит доступ не только к данным об аккаунтах, но и к личным сообщениям, а с учетом специфики ресурса такие сообщения можно смело отнести к деловой переписке. В этих сообщениях можно, например, искать логины и пароли для доступа к различным ресурсам и прочую ценную информацию, ведь через Peopleperhour нередко нанимают программистов или вебдизайнеров.
Второй – это то, что данные совсем свежие, а в сети не нашлось упоминаний об утечке данных с этой биржи, так что вполне вероятно, что ее владельцы пока остаются в неведении относительно происходящего.
@In4security
Продавец обещает предоставить данные 5 миллионов аккаунтов, более миллиарда приватных сообщений, персональные данные участников проекта, телефоны, адреса электронной почты, хэши паролей и секретные вопросы.
В этой истории интересны 2 момента. Первый заключается в том, что покупатель базы получит доступ не только к данным об аккаунтах, но и к личным сообщениям, а с учетом специфики ресурса такие сообщения можно смело отнести к деловой переписке. В этих сообщениях можно, например, искать логины и пароли для доступа к различным ресурсам и прочую ценную информацию, ведь через Peopleperhour нередко нанимают программистов или вебдизайнеров.
Второй – это то, что данные совсем свежие, а в сети не нашлось упоминаний об утечке данных с этой биржи, так что вполне вероятно, что ее владельцы пока остаются в неведении относительно происходящего.
@In4security