in2security

24 March 2025 08:27

В последние годы схема работы фишинговых сайтов в кредитно-финансовой сфере существенно поменялась. Вместо списания какой-то абстрактной суммы с карты через привязанный к фишинговому сайту интернет-эквайринг, оформленный на левую компанию, злоумышленники стараются получить доступ к личному кабинету клиента банка. Это позволяет не только похитить все имеющиеся в распоряжении жертвы деньги, но иногда еще и оформить на нее кредит.

Рассмотрим работу типичного фишингового ресурса на примере свежего prime-sbr[.]site.

Шаг 1
Привлечь внимание. Розыгрыш 10 миллионов рублей – отличный вариант.

Шаг 2
Получить данные, необходимые для входа в ЛК. В данном случае требуется ввести номер карты.

Шаг 3.
Получить код из СМС для доступа в личный кабинет клиента банка.

Судя по времени реакции на код, здесь используется классическая схема с возомнившим себя хакером биороботом, которому через Telegram-бота прилетает сперва номер карты, а потом код из СМС, и который вручную вбивает все это на официальном сайте банка. Очень популярная нынче схема, которая доказывает, что пока еще не все поддается автоматизации.

Выводы:
Подобные сайты являются крайне опасными, но защититься от такого рода атак не составляет особого труда. Достаточно прокачать навыки «Внимательность» и «Осторожность». В СМС-сообщении из банка прямым текстом указано, что код используется для входа в личный кабинет клиента банка.

Ну и конечно стоит соблюдать базовые правила цифровой гигиены, например, научиться отличать фейковый домен от настоящего. И самая главная рекомендация – не торопиться. Выдохните. 10 миллионов – это, конечно, хорошо, но попробуйте оценить все возможные риски перед тем, как ввести данные своей карты и тем более код из СМС. Не бойтесь обратиться на горячую линию банка за разъяснениями.

А если вы совсем гик, то можете залезть в исходный код. Смешных комментариев про мамонтов тут нет, зато видно, что все логотипы лежат на imgur.com – очень удобно, фишинговые сайты умирают, а картинки хранятся вечно. Вот и этому сайту пришло время уйти в небытие – он был отправлен на блокировку и успешно заблокирован.

in2security

11 February 2025 08:21

Каждый раз, когда я думаю, что удивить меня сложно, жизнь подкидывает новые сюрпризы.

Встречайте: фейковый сайт несуществующей государственной программы «Банк спермы – роди ребенка от героя»…

Шаблон сайта примерно скопирован с официального ресурса Минздрава. Сам сайт пока используется только для сбора персональных данных.

Отдельно хочется отметить довольно качественно сделанный скан приказа Минздрава. На фоне корявых подделок, которые используют телефонные мошенники в схеме Fake Boss – это прямо шаг вперед. Впрочем, и здесь есть косяки – приказ от 4 января? Вы серьезно? Вся страна гуляет, а Минздрав решает создать банк репродуктивного материала? Это еще и суббота, кстати. Да еще и с номером 649Н, видимо предыдущие 3 дня 2025 года выдались особо жаркими на приказы. А зарегистрирован приказ только 21 января, причем под номером 76537. Можно лишь посочувствовать сотрудникам подразделений документооборота.

Все это конечно выглядит забавно, только вот владельцу ресурса принадлежит целая сеть сайтов, предназначенных для взлома Telegram-аккаунтов, так что можно предположить, что и репродуктивный сайт в итоге будет использоваться для этой же цели.

in2security

09 December 2024 17:03

Сегодня прямо день юмора на канале. Какой подарок выбрали бы вы? Я бы отказался от участия в таком конкурсе.

Но самое интересное – это то, куда ведут ссылки. Нажав на кнопку, вы попадете на сайт kindsaracen.com, где в зависимости от вашего выбора по сложной ссылке вам откроется та или иная страница, которая будет выдавать себя за какой-то ресурс.

Так, Екатерина Андреева расскажет, как восстановить зрение, а если вы выберете в качестве подарка алкогольную зависимость, то вам откроется фейковая страница «Соловьев LIVE», которая поведает о том, как доктор Мясников помог Григорию Лепсу.

Рекомендую обратить внимание на примеры «До» и «После». На последнем фото можно видеть, как после приема препарата «Трезвин» помятый Варламов возвращается в Россию и превращается в типичного обитателя Патриков, открывшего свой бизнес и зарабатывающего миллионы, работая всего полчаса в день.

in2security

06 December 2024 09:08

Польша была одной из первых стран, в сторону которых произошел экспорт мошеннических схем с инвестплатформами и маркетплейсами. Впервые мы такое заметили года 4 назад. Но тогда все было цивильно и на польском языке. Где-то даже есть коллекция сохраненных скриншотов.

И вот теперь пошла волна сайтов на русском языке, которые предлагают присоединиться к платформе микроинвестиций для поддержки Европы. Похоже, что акцент мошенников смещается в сторону русскоязычных иммигрантов.

Впрочем, по итогу вам позвонит сотрудник того же колл-центра, что обрабатывает российских бабушек и дедушек.

in2security

26 November 2024 16:18

Будьте аккуратнее с 7z-архивами. Уязвимость CVE-2024-11477 - RCE в 7z-архивах позволяет захватить ваш комп путем удаленного исполнения вредоносного кода.

У 7-ZIP уже готов патч, но установить его необходимо вручную. Начиная с версии 24.07 уязвимость устранена, последняя актуальная версия – 24.8.

in2security

22 November 2024 11:29

Когда оформил предзаказ на Тесла бота на левом сайте...

Автор картины - Вася Ложкин.

in2security

11 November 2024 17:02

Раньше для того, чтобы попробовать взломать мой Telegram мне присылали ссылки на голосование за каких-то знакомых людей или хотя бы творчество их детей. А тут меня без моего ведома добавляют в группу, в которой просят проголосовать за некую Дарину, которую я знать не знаю. Пришлось гуглить. Да, есть такая певица, но я точно не являюсь ее целевой аудиторией.

Ну да ладно, схема хоть и не новая, но все равно интересная. Самое прикольное в ней то, что в чате, в который добавляют жертв, сидят боты, которые радостно пишут о том, что они поддержали Дариночку. Мол, ты следующий, давай, голосуй!

В чате действует жесткая модерация, любые "неправильные" сообщения мгновенно трутся, а их авторы нещадно выгоняются из сообщества любителей Дарины.

Ну а далее все стандартно: авторизуетесь через Telegram и вот вы уже не хозяин своей учетной записи. Данная схема максимально автоматизирована, фишинговые сайты связаны со специализированными платформами, позволяющими управлять фишинговой кампанией, и бизнес этот весьма выгоден. Вообще в последние 2 года этот сценарий фишинга приобрел просто невероятные масштабы.

В данном конкретном случае использовались 2 фишинговых сайта: stars-fun[.]ru и progress-stars[.]ru, которые уже отправлены на блокировку. В этот раз Дарина останется без голоса.

in2security

28 October 2024 10:03

Один из популярных в узких кругах OSINT-каналов, запустил сегодня в 10.38 любопытное соревнование.

На канале был выложен SQL файл, содержащий ссылку на Yandex-диск с 404 архивами ранее не опубликованных баз, полученных методом web-root. Согласно описанию, имя SQL-файла входило в ТОП 200 вариантов брута. Через 7 дней ссылку обещают сделать публичной.

Но зачем ждать 7 дней, если можно забрутить за 20 минут! Как итог, статистика по утечкам за год пополнится 404 новыми инцидентами. Общий объем архивов имеет размер 3 гигабайта. В архивах представлены самые разные сайты, в основном относящиеся к малому бизнесу.

in2security

22 October 2024 15:07

В последние 2 года взлом Telegram – это прямо один из ключевых трендов. Каких только легенд, почему жертве следует пройти авторизацию, не было за последнее время. Если честно, я даже устал об этом писать. Ну неинтересно.

Но тут забавный пример. Вроде и схема привычная: «кто-то получил доступ к вашему аккаунту», но сайт gosuslugichildrens[.]online (на слове childrens моя учительница английского бы выпила валерьянки) сверстан так, что в некоторых мобильных браузерах выглядит прям как страница с оповещением на весь экран. К тому же код HTML страницы содержит довольно подробные комментарии, что позволяет говорить о том, что это не единичная история, а готовый фишинговый кит, который продается.

Вполне в духе нашего времени в процессе взлома аккаунта задействуется 3 различных сайта: первый выдает начальное предупреждение, второй (tgme-system[.]online/verif) сообщает о том, кто якобы пытался войти в аккаунт. В моем случае очень иронично то, что указан телефон Samsung Galaxy Note10+, с которого я действительно могу заходить в свою учетку, но не из Киева, конечно. Кстати, Киев тоже выбран неслучайно, вряд ли российский пользователь в нынешних условиях залогинится в свою учетную запись из столицы Украины, а если не он, то… украинские хакеры! Нагоняют жути, в общем.

Код этой страницы тоже прекрасно прокомментирован в расчете на широкую аудиторию. Ну а дальше – еще один редирект, теперь на tgme-system[.]pro/verif-***********, на котором уже висит сама фейковая форма входа. Ну а дальше все стандартно.

Берегите себя и свои учетки в Telegram. В последнее время наметился тренд, когда злоумышленники не просто пытаются одолжить деньги у друзей жертвы, но и выкачивают переписки, ищут информацию интимного или компрометирующего характера и либо шантажируют человека, либо продают ее на соответствующих площадках.

in2security

15 October 2024 12:14

Тематика Мелстроя не дает покоя мошенникам. Снова фиксируем эпидемию сайтов с коробочками, действующими от имени популярного трэш-стримера. Только теперь все чаще используются домены третьего и четвертого уровней в сочетании с уникальными идентификаторами.

Живой (пока) пример: https://mjkq[.]asikpoz[.]shop/mell/?clickID=ewJ7PGRCMgL55sW/

Как вы понимаете, искать такие ресурсы весьма непросто, но тем не менее мы научились.

Удивительно, что схема с коробочками работает уже более 5 лет практически без изменений. Меняется лишь целевая аудитория, на которую ориентированы такие сайты. Поделитесь в комментариях идеями, каков портрет типичного поклонника стримов Мелстроя, на которых рассчитывают мошенники!

in2security

09 October 2024 09:40

Очередной фишинговый сайт с биороботом, который за вас зайдет в ваш личный кабинет, а вы пришлете ему код из СМС. Вроде бы скукота, но не совсем.

Во-первых, вредоносный контент доступен только по конкретному URL, если вы введете в браузере имя домена, то получите просто заглушку от браузер (популярная в последние годы история).

Во-вторых, даже в URL-е название банка искажено, причем так, что это не тянет на тайпсквоттинг.

В-третьих, само имя домена строится по схеме, которую используют злоумышленники, промышляющие под видом госуслуг (расширяют горизонты!).

В-четвертых, налицо бескомпромиссность: вне зависимости от того, выберете ли вы прохождение опроса или отказ от бонуса, вам откроется опрос...

Ну а в остальном вполне обычный скучный фишинговый сайт для кражи доступа в личный кабинет банка. Из примечательного разве что отсутствие возможности вводить что-либо кроме букв в поле ответа на вопросы. Ну и правильно, долой эту мерзкую пунктуацию. Код для авторизации поступит в течение 5 минут. Это время нужно для того, чтобы биоробот вышел из анабиоза и успел залогиниться в личном кабинете жертвы.

in2security

02 October 2024 12:55

Телефонные мошенники, которые представляются сотрудниками ЦБ или МВД, нередко используют вспомогательные сайты, на которых можно убедиться в том, что вам звонит настоящий представитель органов гос. власти, и проверить номер его удостоверения.

В последнее время мы отмечаем тенденцию, заключающуюся в том, что в целях маскировки фишинговых ресурсов все чаще применяются домены 3 уровня (эти люди реально думают, что это защищает от обнаружения?).

Вот, например, свежие фейковые сайты под ЦБ:
https://cbr.b-call.ru/
https://cbr.b-call24.ru/

Прямо как настоящие, только вместо пункта «Проверить участника финансового рынка» вставлен пункт: «Проверить информацию о сотруднике».

Ну а дальше все стандартно: введите Bank ID. Если ID совпадает с тем, что продиктует мошенник, то сайт выдаст подтверждение: «Этому сотруднику можно верить, переводите деньги на безопасный счет!», если же ввести абстрактные цифры, то скажет, что такого сайта нет.

Интересный момент. В футере сайта зачем-то указано, что он создан Студией Артемия Лебедева, хотя на настоящем сайте ЦБ РФ указано, что дизайн создан AIC.

Оба ресурса отправлены на блокировку, а заодно и в FinCERT Банка России. Как говорит Артемий: «Ну умер, и умер…»

in2security

18 June 2024 18:35

Ну и раз уж я упомянул лекцию про Льва Термена, то вот вам полная информация. Кстати, возможно на этой лекции можно будет поиграть на терменвоксе автора данного канала:

В своей лекции "Термен - гений электроники" старший научный сотрудник Политехнического музея Р.В. Артеменко расскажет об уникальных работах инженера и ученого в сложнейшее для страны и ее граждан время.
Измерительные и сигнализационные установки, музыкальные инструменты, ТВ-установки и спецтехника, — в каждой из этих областей Льву Сергеевичу Термену удалось создать образцы аппаратуры во многом опередившие свое время. Попытаемся вместе разгадать основу творческой натуры инженерной деятельности на примере работ Л.С.Термена. Помогут нам в этом уникальные фонды Политехнического музея, что хранят документы о жизни и творчестве выдающегося человека и инженера XX века и знакомство с которыми может оказаться полезным не только будущим инженерам, но и музыкантам, историкам, философам, социологам.

Бесплатная регистрация по ссылке:

https://tickets.polymus.ru/event/D2ED4C62C1D541E7A97E6DA64BF93795BD463AF8

Место проведения на карте https://yandex.ru/maps/-/CDrgBVO4

in2security

15 May 2024 16:49

Видимо 0day под Outlook в итоге купили. Список покупателей на скриншоте. Брич в очередной раз прекратил свое существование.

in2security

26 April 2024 10:48

Если ваши деньги похитили телефонные мошенники, то вернуть их скорее всего уже не получится. Однако желающих повторно нажиться на человеке, тешащим себя надеждой получить назад свои кровные, всегда найдутся.

Сегодняшний сайт – классический пример повторного обмана жертв фейковых криптоинвесторов, о которых мы писали на канале уже десятки раз. По факту это такие же телефонные мошенники, действующие из колл-центров, только в этой схеме никто никого не пугает и не предлагает перевести деньги на защищенный счет, а напротив – предлагает хорошо подзаработать. Если вы оставите данные на таком «инвестиционном» сайте, вас замучают звонками добрые менеджеры. А когда вы внесете на счет «биржи» свои сбережения и поймете, что вернуть их оттуда не выйдет, настанет черед вот такого юриста Никулина. Иногда мошенники сами звонят своим же жертвам, предлагая помощь в возврате денег, иногда – заманивают людей на такие сайты через рекламу и спам-рассылки. По факту человека просто обманут еще раз.

И точно так же, как карета золушки в полночь превращается в тыкву, всемирно известный юрист Никулин по мановению Яндекса превращается в популярную модель с бесплатных фотостоков.

in2security

17 February 2025 10:27

Все больше фишинговых сайтов использует различные механизмы защиты от обнаружения. Даже сайты фейковых инвестплатформ, неотрывно связанные с телефонными мошенниками, стали применять географическое таргетирование.

И вот пример: свежий сайт, нацеленный на белорусскую аудиторию, https://belarusneft[.]com. Если вы откроете его с белорусского IP-адреса, то будете автоматически перенаправлены на ресурс https://multitudinousness[.]shop/W/belorusneft, на котором висит целый букет шаблонов под различного рода фишинг, и вам откроется типичный фейковый инвестиционный сайт. Кстати, если в адресной строке оставить один лишь домен, вас встретит картинка с веселым баклажаном!

Ну а если ваш адрес не относится к Республике Беларусь, то вам откроется клон сайта БПИФ «Доходъ», оригинал которого находится по адресу https://www.dohod[.]ru. Причем клон (пока) совершенно безобидный – просто ширма.

Ситуация чем-то напоминает много раз описанную нами схему «Хамелеон», только в данном случае все выполнено намного проще, без заморочек с тремя доменами, айфреймами и так далее.

in2security

28 January 2025 09:33

Время веселых историй. Мошенники, активно создающие фишинговые сайты под известный маркетплейс, не заморачиваясь подняли прямо на своей инфраструктуре сайт, предлагающий вернуть деньги всем людям, которые пострадали от действий мошенников.

Для этого они откопали скелет мамонта в виде шаблона фишингового сайта по возврату средств, украденного в 2020 году у других мошенников, которые запилили его году эдак в 2019, оставив при этом информацию о том, что «они работают уже целых 8 лет, а запустили проект в 2011».

Древний шаблон таит в себе и иные артефакты. Так, например, видеочат с оператором предлагается вести с использованием Adobe Flash плагина, который остался в пыльных закоулках истории уже много лет назад. А Россия в русскоязычном тексте написана как «Россiя». Вот прям сразу и не догадаешься, в какой стране находятся мошенники.

Вывод денег осуществляется на карты дропов через нелегальную платежку, обслуживающую скам-проекты и онлайн-казино. При этом сама схема неотрывно связана с телефонными мошенниками. Жертва вводит на сайте свой номер телефона для поиска начислений, оплачивает «комиссию», а после её ждет увлекательная телефонная беседа с сотрудником колл-центра. Но это уже совсем другая история.

Казалось бы, криворукие мошенники со старым кривым сайтом… кому это интересно? Но все не так просто, и данная история оставляет грустный осадок: все эти артефакты и ошибки на сайте не исправляются по одной причине – схема прекрасно работает и так. Никто не замечает эти ошибки.

Именно поэтому и следует развивать финансовую и компьютерную грамотность и информировать о новых или старых хорошо работающих уловках. Помните и расскажите своим близким: НИ ОДНА ОРГАНИЗАЦИЯ НЕ ВЕРНЕТ ВАМ ДЕНЬГИ, КОТОРЫЕ ПОХИТИЛИ НЕУСТАНОВЛЕННЫЕ МОШЕННИКИ.

in2security

09 December 2024 08:24

Какой только трэш не найдешь в процессе мониторинга фишинга. Всем отличной недели и хорошего настроения. Да прибудет с вами Крыша!

in2security

05 December 2024 19:44

Неожиданные открытия!

in2security

25 November 2024 19:10

Чтение комментариев в коде фишинговых китов - одно из любимых занятий. Когда-нибудь опубликую дайджест самых смешных находок.

in2security

22 November 2024 11:24

Согласно заявлениям Илона Маска, Tesla Bot поступит в продажу в конце 2025 года, то есть через год. Но в рунете уже появляются сайты, предлагающие оформить заказ на человекоподобного робота.

Естественно, никаких данных владельцев сайта вы не найдете. Единственная зацепка – телефон, но, если верить Яндексу, он принадлежит установщикам систем видеонаблюдения из Москвы.

К слову, владельцу данного сайта действительно принадлежат домены, связанные с видеонаблюдением, например https://roscamera.ru/. Только вот этот сайт порождает еще больше вопросов: ни слова об организации, фиктивная политика конфиденциальности и обработки персональных данных. Возникают резонные сомнения, что компании, которые вы можете видеть на скриншоте, доверили установку камер такому ноунейму.

А еще ему принадлежит целый букет сайтов по продаже квартир в элитных ЖК, только вот эти сайты не имеют никакого отношения к девелоперским компаниям. Такой вот разноплановый человек.

К сожалению, современная практика такова, что бороться с подобными ресурсами крайне сложно (хотя и возможно).

in2security

29 October 2024 09:30

Телефонные мошенники стали представляться сотрудниками Почты России

Суть схемы проста. Вам поступает звонок якобы от сотрудника Почты России, в котором говорится о том, что на ваше имя поступило заказное письмо, но адрес указан неверно, поэтому оно томится в сортировочном центре. В качестве отправителя письма указана Налоговая служба. Естественно, письмо из налоговой должно взбудоражить потенциальную жертву, поэтому, когда для уточнения адреса и актуализации данных потребуется продиктовать код из СМС, человек с радостью сообщит его. И потеряет доступ в свой аккаунт на портале Госуслуг со вполне прогнозируемыми последствиями.

Меня постоянно спрашивают: что делать, если вам позвонили мошенники от имени какой-либо организации. Ответ всегда один: абонент на той стороне провода – просто голос из трубки. Не доверяйте входящим звонкам, не сообщайте никакую конфиденциальную информацию, и уж тем более пароли и коды из СМС. Хотите пообщаться с почтой, банком, госуслугами, МВД, ФСБ, ФНС и прочими организациями, обратитесь в них самостоятельно. А в ответ на сообщение о заказном письме просто скажите: «Спасибо, прощайте...»

in2security

25 October 2024 12:03

Неважно что у тебя: день рождения или именины, всегда найдется какой-нибудь банк, который тебя поздравит. Вечная классика скама на канале In2security на примере двух свежих сайтов.

Кстати, а вы знаете, когда у вас именины?

in2security

17 October 2024 12:38

Ленивый фишинг. А почему бы не заменить логотип Госуслуг на существующем уже несколько лет шаблоне на Росбанк? Увеличим сумму с 3 до 6 тысяч за опрос и сработает!..

Ну сработает же?

P.S. Знала ли эта девушка с копилкой с фотостока, что станет маскотом одной из самых масштабных фишинговых атак?

in2security

14 October 2024 18:11

Сложно перечислить все бренды, которые использовали украинские телефонные мошенники, действующие от имени несуществующих инвестиционных платформ. Компании нефтегазовой отрасли, банки, Илон Маск с Теслой и Space-X… Была и экспансия подобных сайтов в Европу и в Среднюю Азию, о чем мы неоднократно писали. И, казалось бы, чем можно удивить? А вот, ловите: инвестиции с Google.

Все тот же шаблон, меняется лишь текст и фоновая картинка или видео, все та же суть: отправьте нам свои контактные данные и с вами свяжется наш болванчик, который погрузит вас в мир инвестиций. Удивительно, насколько стабильно рабочей является данная схема. При неизменной сути она существует уже более 5 лет, обрастая всевозможными форками.

Впрочем, если попросить мошенников назвать ИНН и перечислить виды деятельности организации, они как правило быстро сливаются или начинают говорить, что ИНН – это конфиденциальная информация. Интересно, какой ИНН у компании Google Finance?

in2security

07 October 2024 12:34

Национальный вопрос – это всегда острая тема. И именно на этой теме решили сыгрыть злоумышленники, создавшие фишинговый сайт под Федеральное агентство по делам национальностей на домене fadn-social[.]ru.

Тут все серьезно: посетителю надо будет дать развернутые ответы на 13 вопросов. Причем за прохождение не предлагают даже денег – все держится на идее. Но идея, как известно, дороже денег, поэтому желающие пройти опрос точно найдутся. Только потратив 10-15 минут своего времени и изложив свои доводы относительно будущего страны, а также ее многонационального народа, пользователь увидит, что из его системы поступает слишком много запросов и для продолжения требуется пройти защиту от ботов через популярную соцсеть. Так как потраченного времени, конечно же жалко, человек нажмет на кнопку и попадет на открывшийся во всплывающем окне классический фишинговый сайт, предназначенный для кражи аккаунтов. Что характерно, данный сайт располагается уже по другому адресу: vk.auth-s3[.]ru – популярная история в последние годы.

Ну а мы считаем, что национальный вопрос должны решать профессионалы в лице того самого Агентства, поэтому без лишних сожалений отправляем оба ресурса на блокировку!

in2security

15 July 2024 11:01

Смотрите, какая красота! Мошенники снова стали рассылать в российские организации письма, теперь с информацией о том, что с сотрудниками компании будет проведена телефонная беседа по вопросам обеспечения защиты конфиденциальных данных.

В этом документе прекрасно все: начиная с того, что он направлен от имени Росприроднадзора – конечно, это же головная в нашей стране организация, отвечающая за информационную безопасность и защиту ПД; и заканчивая подписью: Сотрудник Аппарата Прикомандированных Сотрудников ФСБ при Росприроднадзоре! Мне даже добавить нечего.

Мне, как человеку, почти два десятка лет имевшему отношение к делопроизводству в государственной структуре, с первого взгляда заметно, что это подделка. Но как показывает практика, если вы не работали в госсекторе и не перевели тонну бумаги на переписку с разными ведомствами, это не столь очевидно.

Напишите в комментариях, какие ляпы вы увидели в данном документе.

in2security

18 June 2024 18:33

Интересный кейс по взлому Telegram. Есть популярный сайт для сохранения видео с видеохостингов – savefrom.net. На нем можно сохранить видео либо через веб-интерфейс, либо через плагин для Chrome. Насколько я помню, к этому плагину одно время были некоторые вопросы касаемо его безопасности, но я могу и ошибаться.

Итак, меня попросили скачать с YouTube видео про терменвокс для завтрашней лекции про Льва Термена в Политехническом музее, кстати, настоятельно рекомендую, билеты еще есть.

Зашел я на сайт, закинул туда ссылку и выбрал пункт «скачать без установки расширения». Что ж, файл скачался, но параллельно в новой вкладке у меня открылась страница на домене https://vk.com-id.page/, на которой было сказано, что моя страница заблокирована за нарушение правил VK, и чтобы разблокировать ее, следует авторизоваться через Telegram. Ну а дальше все по стандартной схеме.

Что ж, ресурс отправляется прямиком на блокировку!

UPD: ошибки нет. С вероятностью 1 к 2 savefromnet после скачивания файла редиректит на вредоносный ресурс

in2security

14 May 2024 11:23

Ого! Тут на одном широко известном в узких кругах форуме опубликовали 0day – под сам Outlook! Ценник демократический – примерно 170 миллионов рублей. Перечень версий весьма впечатляет: начиная с 2016 офиса до 365 энтерпрайза.

И все бы ничего, но вот только обычно такие штуки в паблике не продают, тем более на форуме, на котором школьников куда больше, чем тех, кто может отвалить 170 миллионов за RCE…

Возможно, надежда на то, что Microsoft увидит пост и захочет выкупить? Эдакий стартапчик? Но как-то сомнительно.

В общем, штука интересная, мы, конечно, брать не советуем, но если кто-то купит в ипотеку, отпишитесь нам, что как.

in2security

19 April 2024 12:53

Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу.

Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.

Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.

Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.

Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.

Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!