in2security

23 August 2023 14:10

Ну вот и дошло письмо до Деда Мороза и мошенники все-таки решили поменять цель атаки с Telegram, на Whatsapp. Все остальное осталось прежним: заманивают на сайт проголосовать, после чего просят ввести номер и... привязывают мессенджер к другому устройству. Все ссылки на сайте кроме входа с формой ввода номера стабильно не работают, чтобы жертва уж точно не промахнулась... а то начнет кнопки нажимать, сломает еще что-нибудь.
Пока что не все сайты запущены, так как большинство доменов было зарегистрировано буквально вчера.

battle-whatsapp.ru
golos-whatsapp.ru
whatsappbattle.ru
whatsapp-golos.ru
whatsapp-konkurs.ru
whatsapp-battle.ru
whatsappgolos.ru
whatsapp-golosni.ru
whatsapp-golosme.ru

in2security

12 August 2023 08:35

Какие-то очень ленивые или не опытные люди 2 дня назад запустили "подарочный" сайт spbpays.ru.
Ранее действовали от имени банков или крупных компаний, теперь решили не мудрить, так как угадать с банком не всегда удавалось и блокировали быстро, поэтому теперь от СБП. Украли форму у банка Русский стандарт, не убрав источник из исходного кода, а также оставив все их реквизиты в гиперссылках контактных данных, так еще и код им писал какой-то школьник, упорно комментируя весь скрипт, какая функция что делает, как на экзамене. Зачем заполнять номер банковского счета в СБП - загадка.
Но и такие усилия не принесли пользы - все зависает после ввода данных. Нас просят ожидать когда у людей появятся силы на привязку формы ввода данных карты.

in2security

29 July 2023 00:40

Сегодня хакеры сообщили, о взломе клинико-диагностической лаборатории KDL.
Для подтверждения был выложен файл размером 290Мб, содержащий более 151.000 строк обращений клиентов, датируемых с 02.10.2021 по 23.03.2023. База содержит персональные данные клиентов, такие как ФИО, контактный email (более 47.000) и телефон (более 51.000) и конечно же текст обращения в лабораторию.
Насколько данные соответствуют действительности - узнаем завтра из новостей.

in2security

19 July 2023 15:28

Тут нам случайно попалась продуманная схема мошенничества, которая работает уже больше года.
Проект Сбердао.

Этап 1 создать инфоповод, если вдруг кто-то будет гуглить фонд
В декабре 2021 мошенники сочинили статью и разместили ее на доступном ресурсе , где процитировали интересных людей, но кроме этой статьи подтверждения из других источников не обнаружились.
Рассказ в статье о якобы новом сервисе от Сбербанка - "Сбердао" и его сотрудничество с благотворительным фондом "Дети-бабочки". Но - фонд есть, сервиса нет.

Этап 2 создание платформы
22.03.2022 мошенники регистрируют (через компанию, которая регистрирует домены на себя) как минимум 2 созвучных домена sberdao.ru и sbrdao.ru, где размещают предложение пожертвовать фонду деньги.
Получаем домены оформленные на юридическое лицо.

Этап 3 собираем бабло в течение года.
Блокировать такие домены достаточно сложно, так как фактически они ничего не нарушают. У Сбербанка нет зарегистрированной торговой марки - Сбердао, а значит даже нет незаконного использования бренда.

Еще раз обращаем внимание.
Прежде чем вводить данные карты изучите сайт. Например в Сбердао:
1- ссылки на оферту нет
2 - Зайти в личный кабинет не получиться - "нет связи с системой", а вот ввести данные своей карты - всегда пожалуйста.
3- ну и конечно нет реквизитов и дополнительной информации.
Дарите добро на официальных ресурсах.

in2security

05 July 2023 15:43

Бесплатная медицина закончилась, теперь только за деньги...
Прошлая неделя принесла нам утечки данных из клиники «Дов-Центр» и сети медцентров «Наука», а сегодня в сети выставили на продажу базу, предположительно принадлежащую Московскому клиническому научному центру.

База содержит 238 тысяч строк в формате IP-адрес, ФИО, адрес, электронная почта, логин, хэш пароля, полис ОМС, телефон. Весьма удивительно, что данные выставлены на продажу, так как подобным перечнем полей ужа давно никого не удивишь и подобные базы появляются бесплатно практически ежедневно. Так что можно ожидать, что и эти данные скоро отправятся в путешествие по интернету.

in2security

29 June 2023 14:25

Не все VPN-сервисы одинаково полезны. Помимо рисков, связанных с обеспечением конфиденциальности информации, можно нарваться и на откровенно фейковый сервис, такой как https://vpn-secure.ru. При попытке купить доступ у вас не будут списывать фиксированную сумму за услугу, у вас взломают личный кабинет онлайн-банкинга и оставят вас ни с чем.

Создатели сайта не поленились вставить проверку карты на валидность, зато откровенно забили на имитацию страницы ввода кода 3DS: вне зависимости от того, какой банк выпустил вашу карту, код придется вводить в форме от Сбера. Ну и в лучших традициях доморощенного скама скрипты вместе со всеми комментариями просто находятся в теле страницы.

Небольшая памятка для тех наших читателей, кто далек от интернет-эквайринга. Форма ввода кода из СМС должна находиться на домене вашего банка. Если вы видите такую форму на домене сайта, на котором вы намереваетесь что-то оплатить, будьте уверены, вас пытаются обмануть. Ну и конечно же внимательно читайте само сообщение с кодом – в нем будет написано, для чего именно используется присланный вам код.

in2security

28 June 2023 11:36

Как вы думаете, какой контент может быть у сайтов с доменами:
c-kad.ru
avt-odor.ru
cka-d.ru
a-vtodor.ru

Логично было бы предположить, что мы столкнемся с уже ставшем классикой мошенничеством на тему оплаты проезда по ЦКАД и другим платным дорогам. Но в наши дни фейковые сайты быстро меняют контент и зачастую домены, зарегистрированные под один бренд, на практике используются совсем под другой. Вот так и в этом случае: 3 домена из 4 в настоящее время задействованы для адресации фейковых сайтов по продаже авиабилетов. Сайты эти ничем не примечательны. Мы хорошо знакомы с этим фишинговым китом и не раз писали о нем. Вместо интернет-эквайринга на них используется ставший уже традиционным механизм угона доступа в личный кабинет онлайн-банкинга. Если открыть исходный код страницы и пробежаться по скрипту, механизм кражи аккаунта становится предельно понятен.

Зато четвертый домен - a-vtodor.ru – демонстрирует нам нечто новое. На нем висит клон страницы ООО «Единый оператор» в VK, вернее не совсем клон – контент берется из официального сообщества. Наиболее очевидное применение такого явления – прикрытие фишинговых страниц, которые доступны по уникальным ссылкам.

in2security

25 June 2023 14:23

Сегодня хакеры, которые ранее сообщали о взломе Университета Синергия, выложили остальные обещанные файлы. Интерес из которых может представлять только proftest_users - содержащий почти 700.000 контактных данных (имя, email и телефон) целевой аудитории. Но кого сейчас этим удивишь...

in2security

16 June 2023 09:30

Немного позитивного настроения в пятницу.
Китайские попытки косить под известные бренды давно известны, но раньше это было на уровне вещей, то сейчас переходит на онлайн торговлю. Однако российских пользователей спасает одно - китайцам достаточно сложно правильно перевести контент - в связи с чем встречаются интересные попытки мошенничества, однако реализация задуманного не дает даже малейшего шанса получить хоть какой-то профит от потенциальных жертв.
Ну действительно, кто захочет покупать в "очковой зоне" брюки в виде часов кусками на таких сайтах https://www.aviaparks.com (зеркало https://aviapark.org) или https://ottovip.top

Ждем ваши интересные находки в комментариях.

in2security

12 June 2023 21:48

Сегодня очередной жертвой утечки данных, по утверждению хакеров, стал модный маркетплейс-VK-коммунити themarket.io
Несмотря на лозунг "безопасная сделка для защищенной покупки" забота о самих пользователях оказалась не на высоте со стороны пермских иДНивидуальных предпринимателей Марины и Миши. Во всяком случае хакеры утверждают именно это и прикладывают БД с заказами (73 814 шт.), БД пользователей (259 958 шт.) и БД с данными о оплате (74 850 шт.). Актуальность 23.01.2018-06.06.2023. Вместе с историей покупок утекли и более критические данные - ФИО, контакты, адреса доставки, первые и последние цифры банковских карт.

in2security

08 June 2023 08:44

Злоумышленники продолжают выкладывать данные ритейлеров. Следующей в списке оказалась база, предположительно принадлежащая сети гипермаркетов Leroy Merlin.

В архиве Leroymerlin.zip размером 500 мегабайт содержится 2 файла: main.csv и market.csv.

Файл main.csv содержит 3 352 680 строк в формате: ФИО, телефон (2 693 231уникальных), email (3 133 405 уникальных), хэш пароля и кодового слова, дата рождения, регистрации и так далее, вплоть до номера ICQ. Почты в домене leroymerlin фигурируют в базе 18 113 раз.

Актуальность данных – 18 мая 2023 года

Архив market.csv содержит 1 750 227 строки в схожем формате. Актуальность данных – 20 мая 2023 года.

Параллельно были размещены базы, предположительно имеющие отношение к брендам «Едим дома», «Буквоед» и «Твоё».

in2security

06 June 2023 14:35

Данные 3 миллионов покупателей джинсов утекли в сеть. По крайней мере такой вывод можно сделать, увидев гуляющий по интернету архив с именем gloriajeans.zip.

Находящаяся в архиве база customers содержит 3 162 102 строк в формате: почта, телефон, ФИО, дата рождения, дата заказа.

Уникальных почт – 3 057 630
Уникальных телефонов -3 619 619
Актуальность базы – 18 мая 2023

База Users – 3 162 057 строк в формате: дата, почта, телефон.
Данные охватывают период с 02 февраля по 18 мая 2023 года.

Уникальных почт – 3 057 574
Уникальных телефонов – 3 223 389

В базах обнаружены 363 почтовых адреса в домене gloria-jeans.ru.

in2security

02 June 2023 18:47

Пятёрочка выручает.
Одна их главных новостей в российском мире утечек сегодня – публикация SQL-дампа, который предположительно принадлежит страховой компании «Ренессанс».

Размещенная база содержит 737 665 строк в формате: ФИО, email (600+ тысяч уникальных), телефон (300+ тыс. уникальных), хэши паролей, а также даты регистрации и последнего входа.

Этот инцидент с одной стороны продолжает череду утечек данных страховых компаний, а с другой – цепочку атак, связанных с внедрением бэкдора через уязвимости CMS Bitrix.

Но просто писать об утечках – это не наш метод. Так как проблема носит действительно массовый характер, мы хотим поделиться с вами разработанными TLC:Green и CyberOK рекомендациями по реагированию на подобные атаки. Надеемся, что эта информация поможет нашим подписчикам защитить их ресурсы, а в случае возникновения инцидента максимально быстро и эффективно нивелировать его последствия.

in2security

31 May 2023 17:07

Про фейковые банки мы писали много раз, а сегодня на повестке дня сайты фейковых МФО.

Один очень активный индивид настрогал аж 102 таких сайта. Рецепт прост: берем реквизиты реальной региональной МФО, делаем в конструкторе REG.RU простенький сайт-визитку, вырвиглазному дизайну которой позавидовали бы даже домашние странички на narod.ru образца 2000 года, меняем телефон на один из номеров в формате +7931111**** мелкого оператора связи для бизнеса… PROFIT!

Схема разводов на сайтах фейковых банков и МФО достаточно проста. Человек обращается в такую «контору», передает свои данные злоумышленнику, а злоумышленник… оформляет на его имя онлайн-кредит. В качестве приманки используется возможность получить первый заем под 0%.

Покопаться в списке доменов и насладиться шедеврами дизайнерского искусства можно по ссылке.

in2security

30 May 2023 11:47

Сегодня в канале одной хакерской группы появилась информация о том, что сайт университета «Синергия» подвергся атаке и дефейсу. В настоящее время ресурс недоступен.

В качестве доказательства злоумышленники выложили в общий доступ базу данных на 16 396 строк, содержащую, согласно описанию, информацию об оплате обучения. Формат базы: ФИО, дата, сумма. Впрочем, выложенный фрагмент достаточно старый и охватывает промежуток времени с 2014 по 2017 годы.

in2security

17 August 2023 00:16

Давненько мы не писали о фейковых интернет-магазинах, что ж, исправляемся. Сайт http://motornayalodka.ru предлагает под конец сезона приобрести моторную лодку или каркасный бассейн с пятидесятипроцентной скидкой. Что же может пойти не так?..

Да в общем всё! Домен зарегистрирован 4 дня назад, сайт не имеет SSL-сертификата, зато имеет 10 страниц отзывов счастливых пользователей. Реквизиты компании украдены у фирмы «Прим-Восток» (http://www.primvostok.ru), а для оформления заказа необходимо указать свой WhatsApp. Зачем? Да все просто, открываем раздел «Оплата» и видим: «Мы оформляем безопасную сделку на имя получателя, вы получаете соответствующую информацию и запрос на оплату от "ПЭК". Далее вносите Депозит в "ПЭК" - равный полной стоимости вашего заказа».

Расшифровываем для тех, кто не понял: вам в WhatsApp присылают ссылку на фишинговую страницу, закамуфлированную под ПЭК, вы оплачиваете полную сумму и прощаетесь с деньгами.

Смотрим следующий пункт (орфография и пунктуация сохранены): «В случае если у вас возникли сомнения или вы считаете что доставленный товар плохого качества - Вы отменяете сделку и. ваши деньги в полном объеме возвращаются вам».

Тут говорится о том, что, если вас обманули и вы хотите вернуть деньги, введите данные карты в новую форму и сумма спишется у вас повторно.

По удивительному стечению обстоятельств в копилке доменов владельца магазина обнаруживаются домены: pecom-oplata13974.ru и pecom-oplata.ru. О чем это говорит? О том, что на фоне закручивания гаек на Авито и прочих маркетплейсах, любители мамонтятины осваивают новые горизонты и переносят привычные им схемы на фейковые интернет-магазины.

in2security

04 August 2023 23:09

Что почитать на выходных, в такую жару... конечно данные самого популярного сервиса электронных и аудиокниг Литрес.
Сегодня хакеры выложили исходник в размере 677 МБ, утверждая, что это база Литреса, которая содержит более 3 млн строк в формате логин, хеш пароля, email (579 384), ФИО (иногда).
Актуальность: 06.06.2023 - 03.08.2023
По статистике количество схожих доменов с litres.ru постепенно уменьшилось, однако теперь стоит ожидать массовые фишинговые и целевые атаки связанные с тематикой сайта.
Потому что ТИШИНА должна быть в библиотеке!

in2security

19 July 2023 20:30

Два дня назад достаточно успешная франшиза диагностических центров "Хеликс" предупреждала о задержках выдачи результатов анализов из-за хакерской атаки шифровальщика ... и похоже она была успешной.
Итог - в Даркнете выложили дамп БД клиентов компании размером 7,3 млн. строк.
Содержание: ID, персональный ID, ФИО, дата рождения... иногда почта, телефон, снилс
При этом хакер угрожает выложить более чувствительную информацию в ближайшее время.

in2security

10 July 2023 11:26

За 5 дней с момента запуска соцсети Threads от Meta было зарегистрировано более 2.5 тысяч доменов, имеющих отсылку к данной соцсети.

Основные тренды: криптовалютные и прочие финансовые пирамиды (23%); фейковые приложения (13%); накрутка подписчиков (11%); продажа рекламы (8%); а также различные прикладные сервисы: создание аватаров, скачивание картинок и видео, интеграция с другими проектами и т.д. Немало доменов было зарегистрировано и киберсквоттерами в надежде на последующую перепродажу.

В любом случае в ближайшие недели стоит ожидать дальнейшего роста активности мошенников в привязке к Threads.

in2security

29 June 2023 15:51

Полтора месяца назад на одном даркнет-форуме появилось объявление о продаже базы клиентов крымского банка. В качестве подтверждения прилагался фрагмент базы на 110 строк в формате ФИО, дата рождения, телефон, адрес. Адреса и телефоны имели четкую привязку к Республике Крым.

И вот вчера инцидент оброс новыми подробностями. Тот же автор на том же форуме разместил новое объявление, в котором указал, что база принадлежит Генбанку, содержит 198 512 записей и продается за 1000 долларов США.

Самым любопытным моментом в объявлении видится то, что автор утверждает о наличии у него полного доступа в инфраструктуру банка. Что ж, после придания инцидента огласке этот доступ, надеемся, будет перекрыт.

in2security

29 June 2023 11:39

В наши сети иногда попадается любопытный улов. Вот, например, 4 сайта, которые принадлежат одному человеку и имитируют страницы разных форумов:
Жкдоверие.рф
Закумский.рф
Обэп29.рф
Dunserv.ru

Дискуссии на форумах абсолютно идентичны, а ссылка в сообщении ведет на… фейковый сайт знакомств, который мимоходом собирает телефоны, адреса электронной почты, имена и пароли незадачливых посетителей.

in2security

27 June 2023 19:40

Злоумышленники продолжают атаковать сайты региональных медцентров.
Сегодня в сеть выложили SQL-дамп, предположительно имеющий отношение к махачкалинскому медцентру DOW Clinic.

Файл dow-clinic.sql размером 41 мегабайт содержит всю внутреннюю кухню сайта, включая публичный контент и сервисную информацию, такую как напоминания о посещения врача или уведомления о записи. Имена и должности врачей соответствуют именам, указанным на сайте: https://dow-clinic.ru.

В то же время анализ файла показывает, что он не содержит какой-либо критической информации, затрагивающей пациентов. Максимум записи в формате: «ИМЯ ОТЧЕСТВО Ф. ЗАПИСАЛСЯ К ВРАЧУ».

Актуальность данных – 24 июня 2023 года.

in2security

21 June 2023 17:17

Вчера злоумышленники выложили ролик, в котором, согласно описанию, показан процесс взлома приморского банка «Примсоцбанк», пообещав вскоре поделиться полученными данными, и не обманули.

Сегодня в сети были размещены два файла logcard.txt и pskb_user.sql. Первый содержит 7335 клиентских заявок за период с 16 февраля 2021 по 21 июня 2023 года. Второй – 91 124 строки в формате ФИО, дата рождения, электронная почта, адрес, телефон, паспортные данные, хэш пароля. Уникальных адресов электронной почты: 8772, из них 269 в домене pskb.com. Актуальность данных: 29 декабря 2022 года.

По словам злоумышленников, после вчерашней атаки сайт был восстановлен и… был атакован снова тем же методом, в результате чего опять ушел в оффлайн. На момент публикации сайт pskb.com недоступен.

in2security

13 June 2023 17:24

Не прошло и суток, а хакеры готовят новый слив платежных данных пользователей, на этот раз они утверждают, что готовы слить 90.000 строк сети магазинов спортивного питания SPORTFOOD. Как видно из скрина - сегодня хакеры разместили предложение о выкупе базы на самом сайте компании.
Пойдет руководство SPORTFOOD на сделку с хакерами или нет - время покажет.

in2security

09 June 2023 20:14

Читательская пятница на канале In2security!

В сеть почти одновременно выложили базы, которые предположительно могут иметь отношение к сети книжных магазинов «Читай Город», а также издательствам «Эксмо» и «АСТ».

Файл chitai-gorod-users.csv содержит 9 800 830 строк в формате: ФИО, email (9 513 599 уникальных), телефон (4 378 218 уникальных), дата рождения, логин + служебная информация вроде даты последней авторизации.
Актуальность данных – 28 мая 2023 года.

Файл ast.scv намного меньше – 87 479 строк в формате: ФИО, email (86 496 уникальных), телефон (9 682 уникальных), хэш пароля и контрольного слова, даты регистрации, последнего входа и т.д.
Актуальность данных – 3 июня 2023 года.

Eksmo.csv – 452 700 строк в схожем формате. Уникальных адресов электронной почты – 415 490, телефонов – 177 860.
Актуальность данных – 3 июня 2023 года.

in2security

07 June 2023 09:36

Череда утечек продолжается. Теперь в сеть выложили SQL-дамп, предположительно принадлежащий компании «Аскона».

Дамп объемом 1 гигабайт содержит 1.9 миллиона строк в формате: дата логина и регистрации, логин, хэш пароля и кодового слова, ФИО, email (уникальных: 1 324 509), телефон (уникальных – 1 757 182) и прочую служебную информацию.

Электронных почт в домене askona.ru – примерно 3.3 тысячи.
Актуальность данных – 20 апреля 2023 года.

in2security

06 June 2023 09:16

Приказ 66 для Ашана.
В сеть выложили данные, предположительно являющиеся сведениями о покупателях Ашана. Почти 8 миллионов записей датируемые с 10.05.2020 по 18.05.2023. При этом хакеры угрожают выложить данные еще 11 крупных компаний.

Формат выложенной базы: ФИО, телефон , email, адрес доставки.

in2security

01 June 2023 13:52

А у нас в квартире газ
Ценообразование в мошеннических Интернет-схемах вещь достаточно интересная.

Ведь хочется и получить побольше с одного мамонта, но при этом и не попасть под статью. Также сумма должна казаться жертве сопоставимой с реальной стоимостью товара/услуги.

Этой формуле придерживается и наш уникум со свежим фишинговым сайтом smorodina-gaz.ru

Да, уникум, так как отличается от остальных злодеев тем, что не берет деньги со всех подряд, а сначала проверяет действительно ли есть такой пользователь в Смородина.онлайн и выставляет нужную сумму для оплаты уже с использованием любимого всеми мошенниками шаблона.

Учитывая, что средний чек за газ в месяц составляет 150 рублей (привет Европа), то наш уникум рассчитывает на долгосрочную работу своего сайта, с большим количеством пользователей, а не бежит за быстрыми заработками и привлечением к себе внимания правоохранителей. Захотите ли вы погружать себя в бюрократию с заявление с ущербом на 150 рублей?

Но на самом деле все еще интереснее. Сайт использует популярную в фишинге последних лет форму кражи доступа в личный кабинет банка. Схема такова: вы вводите данные карты, вас переадресовывают на фейковую страницу 3DS, которая лежит на том же сайте, и предлагают ввести код из СМС. В этот момент злоумышленник заходит на сайт банка и пытается восстановить пароль от ЛК. Вы получаете код, но это код не на оплату, а на доступ в ЛК, после чего вас просят ввести еще один код – скорее всего это уже будет код подтверждения привязки нового номера, смены пароля и так далее.

Вот фрагмент из используемого скрипта:
desc2 = "Пожалуйста, введите ваш пароль в поле снизу для подтверждения покупки. Также Вам необходимо изменить текущий пароль согласно правилам безопасности банка. Эта информация не доступна интернет магазину."

А вот фрагмент, в котором злоумышленники меняют привязанный к ЛК банка телефон:
function changePhone()... ...else setCells(chphone, 'Новый телефон:', "<input id='newphone' type='text' name='NEWPHONE'></input>");

in2security

30 May 2023 17:00

Пицца урожая 2022 года

Практически ровно год назад мы писали о том, что некий хакер выложил в одном тематическом чате доступ к серверу сети пиццерий «Алло! Пицца» и написал, что он выкачал базу данных компании.

И вот сегодня база данных этой сети пиццерий появилась на одном тематическом форуме. База содержит 37 132 строки с информацией о заказах, в том числе:

ФИО
Адрес
Телефон (25 871 уникальных номеров)
Email (10 782 уникальных).

Актуальность базы – 24 мая 2022 года, что поразительным образом совпадает с прошлогодним сообщением о взломе сервера.

in2security

29 May 2023 12:47

Не секрет, что компании и частные исследователи, занимающиеся выявлением фишинговых доменов в последние несколько месяцев завязли в массе сайтов которые связаны с голосование в Тelegram. Примитивные домены, примитивный лендинг - никакого удовольствия такие отрабатывать.
Как вдруг, вчера были созданы новые belarusscape.ru, belaruscas.ru и belaruscap.ru - заточенные на западного потребителя, Такие же простенькие, как и у нас, но сделаны уже чуть симпатичнее, да и денег сразу предлагают за голосование.
Поэтому обращение: Граждане Бандиты, что за пренебрежение в отношение отечественного фишинга? Наведите красоту сначала у нас, а потом уже экспортируйте… если успеете.