in2security

07 January 2023 15:32

Новый Год и Рождество – время волшебства! Поэтому сегодня мы расскажем вам о новой «волшебной» схеме, предназначенной для угона Telegram-аккаунтов: https://telegra.ph/Ne-golosuj-ili-proigraesh-01-07.

in2security

03 January 2023 14:35

Хакеры решили исправить свой новогодний провал и выложили в открытый доступ дамп 27,56 Гб содержащий 100 млн. записей клиентов Спортмастер. Структура которого полностью совпадает с предыдущей. Но на этот раз последнии записи датируются 2018 годом. Отдельно отметим, что файл обозначен part1.txt.
Спортмастер ранее подтвердил утечку через своего подрядчика.

in2security

31 December 2022 18:16

Провожаем старый год старыми утечками.

Последний слив в этом году оказался не таким актуальны, как могло бы быть.

Данные десятилетней давности, хотя иногда мелькает и 2021 год. Видно, что кто-то себя плохо вел в этом году, поэтому подарков не принесли и пришлось доставать из очень глубоких заначек.

И вот в общем доступе оказались данные клиентов магазина Спортмастер (именно так утверждается, подтвердить мы не можем) в количестве 1.655.406 строк с ФИО, телефоном, email и адресом доставки.

Из уникального:
телефонов: 1.205.950
почт: 269.495

in2security

27 December 2022 18:34

Почему важно проверять информацию в случае, когда речь заходит об утечках? Да потому, что за свежак часто выдают какое-нибудь никому не нужное старье.

Вот и сегодня с мега-пафосным комментарием в Telegram выложили файл Saratov.7z, который по факту оказывается утечкой данных саратовского БТИ от 2004 года. Эта база успела стать широко популярной в среде ограниченных людей в начале 2000-х, погулять по всяким коллекциям баз под Cronos, столь любимых безопасниками из мелких контор и благополучно кануть в лету. Но нет, теперь «хакеры» откопали этот труп и выдают его в качестве доказательств своих намерений!

Похоже, что следующей в таких «хакерских» каналах всплывет картотека 1908 года.

in2security

26 December 2022 13:56

Сегодня у нас на обзоре целых три новых однотипных фишинговых сайта, созданных в попытке заработать на российских военнослужащих и волонтерах, а заодно и сдеанонить их, если выйдет:
http://arcenal-voentorg.ru/
https://arcenal-army.ru/
http://arcenal-voentorg.store/

В целом они скопированы с реального магазина: https://arsenal.army, только вот из ассортимента оставили лишь те товары, которые в силу объективных причин пользуются сейчас особым спросом, не забыв добавить даже квадрокоптеры.

Как обычно создатели фейковых магазинов попадаются на невнимании к мелочам. На одном из вариантов контактный телефон указан в формате:
9150915567, на другом и вовсе состоит из одних единиц.

Часть ссылок банально не работает, а некоторые и вовсе ведут на оригинальный сайт, с которого был скопирован дизайн. Контактный почтовый ящик располагается на бесплатном гугловском сервере.

Текст пользовательского соглашения написан русскими буквами, но не по-русски, в России не применяют такие обороты и такое построение фраз. Впрочем, это не удивительно, так как этот текст был позаимствован с украинского интернет-магазина по продаже одежды (https://blind-blind.com/usloviya-soglasheniya), только все упоминания Украины были изменены на Россию.

Ну и вишенка на торте: оплата осуществляется путем перевода денег на карту физлица…

in2security

23 December 2022 08:38

Да что вы знаете о безопасности персональных данных!

На сайте компании «Ситимобил» в открытом доступе лежат сканы паспортов 4 тысяч водителей!

Просто кто-то решил, что, если разложить сканы по разным папочкам и запретить листинг файлов, этого будет достаточно для того, чтобы данные хранились «надежно».

Но нашелся тот, кто не согласился с таким подходом, пробежался по папкам, собрал архив сканов паспортов и выложил его в общий доступ. И теперь любой желающий может «познакомиться» со своим водителем еще до поездки.

in2security

22 December 2022 06:42

Сегодня расскажем о таком явлении, как продажа доступов к ресурсам государственных организаций. Обычно, если кто-то взломал какой-то государственный сервер, все это сразу списывается на деятельность каких-нибудь проправительственных или политически ангажированных хакеров. Но это далеко не всегда так.

В одном из тематических каналов мы обнаружили объявление о продаже доступа к серверу, находящемуся на китайском правительственном субдомене. Цена вопроса: всего 300 долларов. А вот доступ к американскому серверу в зоне .gov оценивается всего в 150 долларов.

Правда вызывает настороженность то, что в случае с китайским сервером на опубликованном скриншоте мы можем видеть дату – 31 марта 2016, но продавец готов на сделку через гаранта, поэтому информация может быть вполне актуальной, мало ли в сети уязвимых серверов, висящих с дырой в защите лет по 10.

Впрочем, серверами все не ограничивается. Тот же продавец выставляет на продажу полные доступы к почтовым ящикам в зонах:
.gov.br (Бразилия)
.gov.ng (Нигерия)
.gov.lb (Ливан)
.gov.ph (Филиппины)
.gov.in (Индия)
.go.id (Индонезия)
.gov.co (Колумбия)

Стоимость одного ящика составляет всего 30 долларов, а все вместе они предлагаются за 150. Покупатель получает возможность получать и отправлять письма, а также изучать переписку, хранящуюся в этих ящиках.

Все подобные предложения объединяет одна деталь: по сути, вы покупаете кота в мешке. Опасаясь огласки и потери доступа к ресурсам, продавец не сообщает полные адреса ни ящиков, ни серверов. Этим же обусловлена и сравнительно низкая стоимость.

Почему же такие объявления появляются? Все предельно просто. Вполне очевидно, что в данном случае взлом не был целевым: возможно атакующий нашел уязвимый сервер через Shodan, а пары email-пароль вытащил из баз утечек. А теперь продавец банально не знает, что делать с этими данными и пытается хоть немного на них заработать. Ну а люди, которые найдут всему этому применение, всегда найдутся.

in2security

16 December 2022 18:51

Оккупай педофиляй, ну а после продавай!
Тесака уже давно нет, а дело его живет, причем с новым размахом. В дарке стартовал новый тренд – покупка или продажа данных педофилов для дальнейшего развода или шантажа. Причем речь идет как о данных реальных людей с девиантными наклонностями, так и о тех, кто попался на удочку: «ты написал сообщение девочке, а ей на самом деле 14 лет!».

Главным спросом пользуются полные данные конкретного человека, полученные в результате деанона: ФИО, адрес, телефон и так далее. Наличие такой информации значительно повышает успех шантажа, ведь жертве можно сказать, что о ней знают буквально все. Кстати, похожие приемы в последнее время используют и телефонные мошенники, благо утечек персональных данных в этом году было так много, что пробить информацию о любителе молодежи особого труда не составляет.

Можно с уверенностью сказать, что сейчас формируется целое направление криминального бизнеса, заточенное под шантаж представителей педо-сообщества. Стандартная ставка составляет 100 долларов за одного деанонимизированного персонажа, так что желающие заняться подобным OSINT-ом точно найдутся. Правда тут остается огромное поле для спекуляций и провокаций – ничто не мешает продать данные вашего недруга под видом педофила, но, как говорится, это уже совсем другая история.

in2security

13 December 2022 16:13

После того, как мир облетела новость о том, что Павел Дуров запустил сервис по продаже виртуальных номеров и красивых имен в Telegram, мошенники оживились. Такой инфоповод упускать уж точно нельзя.

И вот мир увидел сайт https://fragment.quest. Он выглядит почти как официальный ресурс https://fragment.com, но с некоторыми незначительными отличиями. Например, официальный сайт не взломает ваш криптокошелек, а этот сделан как раз для этих целей.

Шаблон фейкового сайта скопирован с официального, причем скопирован весьма топорно в том плане, что большая часть ссылок на нем банально не работает. Но это и не нужно, ведь самый главный функционал кроется в том, что при попытке совершить какое-либо действие, например, подключить мессенджер Telegram или криптокошелек TON, вас попросят всего лишь… ввести секретные слова, предназначенные для восстановления доступа к кошельку в тех случаях, когда вы утратили контроль над ним.

И если у вас была криптовалюта, после этого останется лишь помахать ей вслед рукой и порадоваться за того человека, которому вы обеспечили счастливое проживание на Мальдивах на ближайшие пару лет.

in2security

08 December 2022 07:48

Давненько не встречался живой фишинг под Почта-банк, думали про них уже и забыли, но нет.
http://p0chtabank.ru/ свеженький, без сертификата и скучный - пройдите опрос, получите деньги.
Для этого укажите номер телефона, карту и введите код из смс для идентификации.
Чтобы вы не переживали за безопасность своих данных - на сайте четко прописано, что при прохождение опроса вам не нужно вводить никаких паролей, а также никаких задних цифр и дат с карты.
Но как всегда косяки. Комментарии в исходнике не потерли, да и футер сайта забыли переделать оставив там реквизиты Сбербанка и ссылки сберовские социальные сети.

in2security

04 December 2022 12:27

Прошло 2 месяца с момента прошлой утечки покупателей DNS и вот теперь в открытом доступе список сотрудников. 150.000 записей в формате ФИО, личный номер, дата рождения, адрес магазина или должность, личный телефон. Актуальность данных указана как 19.09.2022, видимо придерживали с прошлого раза.

in2security

02 December 2022 09:13

Сегодня посмотрим на отличительные признаки фишинговых сайтов, которые стоит учесть перед вводом своих данных на нем.

И как всегда продемонстрируем это на свежем и пока еще живом примере - на этот раз хорошо (ну почти) скопированном сайте "Сберспасибо": https://sberbank-bonus.ru/

1 триггер - отсутствие согласия на обработку файлов Cookie, мошенникам он просто не нужен.

2 триггер - отсутствие альтернативных способов входа, так как мошенникам нужен именно телефон или логин, ну и код который позже придет в смс.

3 триггер - после ввода номера телефона, система должна проверить, есть ли вы среди зарегистрированных участников, мошенники же проглотят любой номер.

Поэтому простой совет: если есть сомнения - введите номер которого скорей всего нет в системе и посмотрите на реакцию сайта.

P.S. С днем банковского работника!

in2security

24 November 2022 13:02

В продолжение сегодняшней истории из предыдущего поста. Наш подписчик не поленился оформить заказ и обнаружил настоящее гнездо скама. Он провалится на страницу на сайте https://supermarkts.ru/, у которого тоже нет корневого индекса и на котором находится порядка сотни папок и подпапок с подобными фейковыми магазинами.

Формально все это размещается в рамках рекламной партнерской сети по модели CPA (Cost per Action). По факту же мы видим, что данные продавцов являются откровенным фейком и таким ресурсам доверять точно не стоит.

Данная схема активно распространяется на некоторых околотеневых форумах в качестве варианта легкого заработка, но давайте посмотрим правде в глаза, если эта схема не черная и покупателю реально хоть что-то присылают, то она как минимум серая.

Ну и конечно же не стоит забывать о том, что подобные магазины нередко обслуживаются нелегальными платежными шлюзами, которые переводят деньги наивных покупателей в крипту и отправляют их владельцам сети, так что концы будет найти непросто.

Если вы хотите узнать все нюансы работы подобных «магазинов», оставляйте комментарии и мы напишем развернутый пост.

in2security

24 November 2022 10:07

Мы много писали про фейковые банки. Настолько много, что в какой-то момент даже устали от этой темы. Но тут забавный случай – сделанный в Tilda сайт «Ген-Пром Банка»: https://genprom-bank.ru.

Мало того, что такого банка не существует, так и реквизиты взяты от другой кредитной организации – МКБ. Ну а в остальном – типичный сайт фейкового банка, призванный пускать пыль в глаза. Ипотека для IT-специалиста за 4.7% годовых? Пожалуйста. Сельская ипотека – 3%. Словно из параллельной вселенной. Да что уж тут говорить, если в качестве руководителя отдела маркетинга используется фотография хорватской певицы участницы Евровидения Франки Бателич (фото которой еще почему-то любят использовать на узбекском Wildberries для рекламы рубашек). Ну а ведущий кредитный специалист фигурирует в фотобанках под именем «фото молодого успешного мужчины».

Отдельный вид искусства – это кредитный договор (не поленитесь, почитайте сами: https://genprom-bank.ru/page30433219.html). Он один на все услуги и речь там идет о целевом кредитовании малого бизнеса. Ну и адрес: конечно же Москва-Сити, как же иначе.

Расписывать всю схему мошенничества тут достаточно долго. Если коротко, то после оставления заявки на кредит с жертвой связывается «менеджер» и предлагает оплатить страховку и так далее.
Вот вам живой пример из СМИ: https://magadanmedia.ru/news/1258377/.

in2security

19 November 2022 19:34

На днях мы обнаружили сделанный на Tilda сайт http://blackfriday-promokod.ru, предлагающий приобрести промокоды популярных маркетплейсов, включая Ebay, на котором жителю России купить сейчас что-либо весьма проблематично.

Кнопка на сайте ведет на telegram-бота. Только вот бот в основном занимается рекламной чернушных проектов, выдавая ссылки на канал «Обучение кардингу» и прочую подобную ерунду. Из всего изобилия скидок бот предлагает разве что купоны OZON на скидку в 50% (уже смешно), при этом в тексте объявления скидка возрастает аж до 70%. И такая радость всего за 300 рублей… Внутренняя жаба говорит, что надо брать!

Но нет, приобрести купоны все равно не удастся: форма оплаты банально не прикручена.

Что мы имеем по факту: недоделанная скам-схема, завлекающая людей нереальными скидками и ограниченным сроком действия спецпредложения. Ну а сопутствующая реклама говорит нам, что основной аудиторией является молодежь, слабо разбирающаяся в IT, зато жаждущая легких денег.

in2security

05 January 2023 13:17

Шантаж интимными фото - дело весьма популярное. Существует масса схем получения компрометирующего материала. В последние годы, например в ходу был сценарий, когда девушкам предлагали принять участие в съемках клипа популярного певца, а входе виртуального кастинга просили раздеться для того, чтобы продюсер мог оценить параметры "актрисы".

А вот в случае с сайтом https://adult-money.ru/ все еще проще - уговаривать раздеться никого не надо, ведь создатели сайта предлагают девушкам помощь в продвижении эротического контента. И все бы ничего: есть спрос, будет и предложение, но только вот от сайта за версту пахнет разводом.


Домен зарегистрирован 3 января, сам сайт висит за CloudFlare, что уже само по себе как минимум подозрительно. Дальше лучше. Информация об организаторах этого "бизнеса" отсутствует напрочь, скриншоты отзывов - откровенный фейк: фото девушек взяты с сайтов интим-услуг, а время на телефоне и время якобы совершенного денежного перевода совпадают. Политика обработки данных скопирована с сайта https://gonets.ru/agreement.php вместе с данными предпринимателя.

Ну и конечно же сама схема: организаторы обещают прислать 50% предоплату до того, как девушка предоставит контент, но до перевода предоплаты она должна прислать им скриншот своей галереи с интимными снимками. Для шантажа этого вполне достаточно.

in2security

03 January 2023 11:30

На нашем канале мы постоянно пишем о том, что любую информацию надо обязательно проверять, тем более если на её основе планируется принять ответственное решение, например, перевести кому-либо деньги.

Сегодня мы на реальном примере покажем вам, как за пару минут узнать, что якобы благотворительный сбор денег на самом деле оказывается тыквой, а сканам паспортов и прочих документов уж точно доверять не стоит.
https://telegra.ph/Uchimsya-otlichat-zlotvoritelnost-ot-blagotvoritelnosti-01-03

in2security

28 December 2022 15:33

Новый год – время чудес, поэтому только у нас вы можете получить в подарок IPhone 14 и массу других призов!

Думали, что это рекламная интеграция на канале? Нет! Это очередные мошенники, которые создали сайт http://iphone-14-1-rubl.online и теперь наживаются на тех, кто верит в новогоднее волшебство. Так как схема с коробочками успела всем давно надоесть, на кону схема с волшебным барабаном. Крутите его и… внезапно выигрываете новый айфон. Клавиатуру, колонку или наушники выиграть нереально, мы проверяли.

Правда, как обычно, есть один нюанс. Вместо айфона вы получаете подписку на фиктивный сервис pump-booty.ru, который сперва спишет у вас рубль, а потом будет раз в 7 дней списывать 1350 рублей с вашего банковского счета. Почему фиктивный? Да просто размещенная на сайте информация – сплошная фикция: из 28 занятий доступны только 3, да и занятиями их назвать язык не поворачивается. Ну а следующий розыгрыш айфонов (который вы выиграли, заметим) состоится… в октябре 2023 года. Как такими темпами они успели разыграть 2300 айфонов – ума не приложим.

Кстати, страница с айфоном откроется лишь в том случае, если вы перейдете на сайт по ссылке с сайта розыгрыша.

Сервис pump-booty.ru принадлежит реально существующему ООО "Интернетори". В этом году мы уже писали про подобные схемы с подписками, но, как видите, они живее всех живых и уверенно входят в новый год.

in2security

27 December 2022 11:06

А вот и «бонус» к утечке фотографий паспортов водителей Ситимобила. Вчера на популярном дарк-форуме выложили базу телефонов клиентов сервиса на 1 миллион строк и 83 тысячи телефонов водителей.

Помимо номеров телефонов база клиентов содержит их уникальные идентификаторы, сведения о количестве поездок и заказов, а также прочую служебную информацию.

При этом автор публикации говорит, что это еще не конец и обещает выложить и другие данные Ситимобила.

Похоже, теперь только пешком!

in2security

23 December 2022 15:18

Мы не раз писали о фишинговых сайтах для угона аккаунтов, но сегодня у нас новая история: фишинг для угона пабликов радиостанций в VK.

Наш подписчик сообщил, что целый ряд пабликов радиостанций, занимающихся ретрансляцией, получили вот такие сообщения:

Добрый день, очень не приятно, что радио-паблик позволяет себе мошеннические публикации и плагиат!
Уважаемые администраторы, поговорите с Вашими редакторами и примите меры, а не позволяйте себе обманывать простой народ.
Странно, что радио с такой репутацией может так вольно и безнаказанно вести мошенническую деятельность.
Ну ничего, жалоба уже подана, можете ознакомиться 👉 https://vk.cc/ck1W1w

Ссылка из сообщения через еще один домен-прокладку ведет на ресурс: https://vkontakte-support.fun/appealvk. При этом если попытаться открыть сайт просто по домену, происходит редирект на Гугл – распространенная схема сокрытия фишинга и защиты от блокировки.

Ну а далее все по классике: введите логин, введите пароль…

Уютной тележечке мы уже помогали, поможем уютному ВКонтактику, отправим фишинг на блокировку.

in2security

22 December 2022 10:41

В последние пару месяцев, а особенно недель, наблюдается масштабная волна взломов аккаунтов в Telegram. Если вы хотите узнать об этом поподробнее, то вот вам ссылка на статью в Коммерсанте, в которой все изложено весьма просто и понятно: https://www.kommersant.ru/amp/5732935

В наше поле зрения такие сайты попадают регулярно, мы не раз писали о них. Только вот если раньше они появлялись в количестве 5-8 штук в месяц, то теперь мы фиксируем подобные ресурсы ежедневно. Шаблоны достаточно типовые, но разнообразные: 12-15 активных вариантов фишинга.

Свежий пример – сайты близнецы:
http://telegram-premiums.ru/
http://1telegram-prems.ru/

Или еще один:
http://telegrampremium.online/

Сама по себе схема максимально простая: авторизуйтесь на сайте, введите свой номер, а потом код из СМС. При этом первые два ресурса являются более продвинутыми: они автоматически проверяют, имеется ли в Telegram пользователь с таким номером телефона, а вот третий сайт просто отправляет все биороботу, который делает все вручную, считая себя крутым хакером. Впрочем, практика показывает, что иногда один биоробот заменяет собой тысячи строк кода.

Вот при помощи таких элементарнейших инструментов и угоняются аккаунты. Ну а мы немного поможем уютной тележечке и отправим фишинговые сайты на блокировку.

in2security

19 December 2022 12:16

И снова прекрасный пример того, как внезапно возникший спрос на определенные категории товаров порождает появление большого количества новых предложений, значительная часть из которых является результатом деятельности мошенников.

Возьмем 5 новых сайтов, объединенных единой тематикой и принадлежащих одному владельцу:
voentorg-pobedashop.ru
voentorg-pobeda-shop.ru
thermo-forma.ru
voentorg-pobeda.ru
pobeda-voentorg.ru

Три из них выполнены словно под копирку и отличаются лишь деталями, такими как адреса и ИНН компаний, которым якобы принадлежат эти магазины, два других имеют иной дизайн, но примерно такую же суть.

Нас часто спрашивают, как отличить фейковый магазин от настоящего, рассказываем: дьявол кроется в деталях. Например, на сайте https://voentorg-pobeda.ru/contact-us указано, что за магазином стоит ООО, но ИНН принадлежат индивидуальному предпринимателю, указанному на той же странице в качестве генерального директора.

Компания якобы находится в Самаре, но телефон +7(495)65 84 25 имеет код Москвы, к тому же в нем отсутствует одна цифра, ведь московские номера семизначные.

Политика обработки персональных данных скопирована с типового шаблона, который работодатель предоставляет наемному работнику, но никак не покупателю. В качестве оператора указано ООО «voentorg-pobeda», что недопустимо с точки зрения правил регистрации юрлиц в РФ.

Сертификаты на продукцию давно истекли.

Ну и наконец вишенка на торте: в качестве оплаты предлагается перевести деньги на счет физического лица (это для ООО!), которое судя по номеру отделения почему-то находится в Ижевске.

Остальные сайты пестрят такими же неточностями. Вот и ответ на вопрос о том, как отличить созданный мошенниками интернет-магазин от настоящего. Конечно, не все фейковые магазины имеют такое количество ошибок, но просто потратив пару минут времени на проверку информации, можно оградить себя от значительной части проблем.

in2security

14 December 2022 19:54

На недельку до второго я уеду в Комарово!

Сегодня в сеть попали данные сайта https://level.travel. Выложенный архив содержит 3 файла: сведения о клиентах, заказах и туристах. База клиентов насчитывает более миллиона строк и содержит сведения об адресах электронной почты, хэшах паролей, времени последнего входа и множество служебной информации. База туристов представляет собой массив на 980 тысяч записей с ФИО, номерами паспортов и идентификаторами заказа.

Последние записи датированы 13 декабря 2022 года, так что утечка явно свежая.

in2security

09 December 2022 19:21

В общий доступ попала база данных сети магазинов «ВкусВилл».

Общий размер опубликованной информации составляет 534 мегабайта в виде 30 файлов в формате JSON.

Выложенные сведения включают следующую информацию: телефон и электронная почта покупателя, дата заказа, дата доставки, сумма покупки, а также последние 4 цифры номера банковской карты. Первичный анализ позволяет предположить, что речь идет об интернет-заказах. Последние заказы датированы декабрем 2022 года, так что база явно свежая. Размещенные данные ранее в сети не публиковались.

in2security

06 December 2022 13:45

Сегодня в сети выложили данные, предположительно принадлежащие пользователям портала Rabota.ru.

Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям.

Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера.

Интересно выглядит и графа «зарплатные ожидания»: из 390 тысяч записей всего 615 соискателей претендуют на зарплату 100 тысяч и выше (0,15%), рекордсменом является один человек, запросивший 1 миллион.

Несмотря на то, что утечка не содержит ФИО, она все равно может представлять угрозу – мошенничества, связанные с устройством на работу весьма распространены и база соискателей всегда придется к месту, ведь её можно использовать как для рассылки фишинговых писем, так и для целевых обзвонов. Ну а человек, находящийся в постоянном ожидании звонка от потенциального работодателя, всегда является лакомой жертвой.

in2security

02 December 2022 14:01

В январе мы писали о том, что злоумышленники стали использовать для взлома аккаунтов VK фейковые сайты, предлагающие найти на себя компромат и естественно сразу же его удалить. Но тогда мы не прикладывали скриншоты. И вот теперь у нас появилась возможность все исправить. Сайт https://searchsliv.ru сделан на том же самом шаблоне в рамках той же схемы.

А схема предельно проста. Сначала вам раскрывают ужасные перспективы использования ваших данных хакерами, а потом предлагают проверить свою учетную запись, вдруг что найдется. К слову, визуально сайт сделан вполне неплохо – практически бриллиант на общем фоне халтурных скам-поделок.

Естественно, компромат найдется на любой профиль ВК, даже тот, что не существует. А вот для того, чтобы его скачать, как обычно потребуется ввести логин и пароль.

Ну и раз уж мы затронули тему взломов, то расскажем вам еще и о том, как угоняют учетные записи в Telegram на примере сайта https://login-telegram.ru.

Тут все еще проще. Ресурс выдает себя за веб-клиент мессенджера и просит ввести сперва номер телефона, а потом код из СМС. Конец в данном случае немного предсказуем: если у жертвы не настроена двухфакторная аутентификация, её аккаунт уплывет к новому владельцу.

Любопытно, что судя по строке в коде страницы, сайт был скопирован с ресурса телеграм.онлайн, так что можем смело записывать его в нашу любимую категорию #ленивыйфишинг!

in2security

28 November 2022 16:09

Для ревнивых жен наступил праздник. В сеть попали базы сразу двух ювелирных сетей: UVI.RU и такого гиганта, как «Адамас»

Утечка Adamas представляет собой 4 JSON-файл общим объемом 9 гигабайт. Файлы содержат сведения о сотрудниках, курьерах, покупателях и сделанных ими заказах. Общий объем информации исчисляется десятками миллионов строк.

База UVI куда скромнее, всего 53 тысяч пользователей, зато она включает пароли и сведения о заказах, кроме того, в руках злоумышленника оказались API-запросы с открытыми паролями и архив внутренней почты компании, который автор объявления обещает в скором времени выложить.

В общем теперь любая компьютерно подкованная жена может задать своему мужу вопрос: а для кого это ты колечко покупал в июле 2022?

in2security

24 November 2022 10:51

Настало время интересных историй про тень Черной пятницы!

На домене dnssale.ru кто-то не поднял индекс, зато сделал папочки и разместил в них типовые ресурсы по продаже всякой ерунды.

В качестве ерунды выступают:
Мужские сумки на двух разных шаблонах сайтов. Нож в подарок!
Мощный поисковый фонарь. Опять же нож в подарок.
Мультитул Leatherman на двух разных шаблонах. В подарок нож или часы.

Таймеры на сайтах зациклены, цен нет, а для заказа надо оставить персональные данные. На всех 5 страницах указаны данные разных компаний, вот только они либо ликвидированы, либо не соответствуют видам деятельности и обладают низким рейтингом благонадежности.

Причем же тут домен DNS? Ну а что домену пропадать, пусть хоть так поработает. Хотя в последние месяцы количество фишинга под DNS стабильно высокое, а фейковые сайты, замаскированные под этот гипермаркет электроники мы встречаем практически ежедневно.

in2security

23 November 2022 14:29

Куда деваются деньги в кризис? Может быть, они обесцениваются? Может цены растут? Может обанкротившиеся предприятия передают свои активы кредиторам? Да ладно вам, что вы такие наивные, как будто учебник экономики проглотили. На самом деле все иначе. Все деньги, которые теряют люди и организации на фоне кризиса просто…

Именно такую риторику ведут представители очередного не имеющего аналогов проекта, обещающего озолотить всех своих участников. Ну а мы разбираемся, кто стоит за этим гениальным стартапом, и почему участвовать в нем однозначно не стоит: https://telegra.ph/Mir-idealnogo-krizisa-11-23

in2security

17 November 2022 15:56

И снова в эфире рубрика «ленивые мошенники». Разбираем свежий фейковый сайт по продаже билетов на мероприятия https://afisha-etoile.ru и его зеркало https://afishaetoile.ru, созданные в рамках схемы Dating scam, о которой мы неоднократно писали.

В целом все как обычно: иконка от Афиши, достаточно распространенный шаблон, но есть одна деталь. В футере висит предупреждение о том, что согласно постановлению КМУ №211 от 11 марта 2020 года в России на период карантина нельзя покупать билеты в живых кассах. Ловим первый facepalm, ведь карантин давно закончился.

Но подождите, а что такое КМУ? Ой, да это же Кабинет Министров Украины! Гуглим номер постановления и… оно реально существует: https://ips.ligazakon.net/document/KP200211. Второй раз прикладываем руку к лицу.

Ну и наконец третий facepalm. Открываем раздел «О нас» и узнаем, что сайт подключен к сервису продажи билетов Maestro Ticket System. Все бы ничего, но это исключительно украинская система.