in2security

30 May 2023 11:47

Сегодня в канале одной хакерской группы появилась информация о том, что сайт университета «Синергия» подвергся атаке и дефейсу. В настоящее время ресурс недоступен.

В качестве доказательства злоумышленники выложили в общий доступ базу данных на 16 396 строк, содержащую, согласно описанию, информацию об оплате обучения. Формат базы: ФИО, дата, сумма. Впрочем, выложенный фрагмент достаточно старый и охватывает промежуток времени с 2014 по 2017 годы.

in2security

29 May 2023 10:34

В даркнете выставили на продажу базу данных, которая, согласно описанию, содержит сведения о пользователях ресурса uteka.ru – сервиса по поиску товаров в различных аптечных сетях.

База содержит 2.1 миллиона строк в формате ФИО, телефон, дата рождения, город проживания.
Выборочная проверка данных, размещенных продавцом в качестве образца, показала, что телефонные номера соответствуют тем людям, что указаны в продаваемой базе.

in2security

22 May 2023 16:49

На продажу выставлена база данных, которая, согласно описанию, была выкачана с сервиса по консультациям студенческих работ – work5.ru. Цена вопроса – 500 USD.

База состоит из двух частей.

Первая, Members, представляет собой список пользователей и содержит: ФИО, email, телефон, даты регистрации и последнего логина, а также большой перечень сведений об учебе и месте жительства. Объем – 1 000 000 строк.

Вторая, Message, судя по всему, представляет собой архив переписки со службой поддержки. Тут строк еще больше – 8 257 000.

В качестве подтверждения выложены два небольших семпла на 37 и 40 строк соответственно. Выборки данных в семплах датируются 2019 и 2022 годами.

in2security

20 May 2023 18:11

Пока безопасники гуляют на PHDays, злоумышленники устраивают свой собственный Standoff и зарабатывают очки.

Сперва появилась информация об атаке на сеть медцентров «Ситилаб», в результате которой, как заявляют хакеры, удалось похитить 14 терабайт внутренних данных. Пока же в сеть был выложен архив на 1.7 гигабайта, который содержит 1000 PDF-файлов: договоры, сканы паспортов, чеки, маркетинговые материалы и прочие сведения. Злоумышленники по ставшей уже традиционной схеме требуют выкуп и грозятся выложить весь массив данных.

Досталось и инфобезу. Второй инцидент, согласно публикации в одном их хакерских каналов, затронул компанию «ИнфоТекс». Размещенная база клиентов в формате ФИО, email, телефон, должность, логин и хэш пароля содержит 60 946 строк, в том числе 60 901 уникальный email (3093 почты в домене infotecs.ru) и 7 614 уникальных телефонов. Данные охватывают период с 04.11.2016 по 24.04.2023.

in2security

03 May 2023 15:52

В общий доступ выложили базу, согласно описанию принадлежащую риэлторскому агентству «БЕСТ-Недвижимость».

Архив содержит данные клиентов (ФИО, почта, телефон, сведения о недвижимости) с комментариями, касающимися продажи-покупки жилья.

Уникальных почт – 1271, актуальность данных – 3 мая 2023 года.

Но это еще не все. В довесок к файлу хакеры разместили еще и админские пароли для доступа к ресурсу. Впрочем, такая тактика нередко используется для заметания следов: не очень умные люди ломанутся на сайт, засветятся в логах, а данные настоящих злоумышленников затеряются в информационном шуме.

in2security

27 April 2023 17:42

В начале марта мы писали про создателя фишинговых сайтов и по совместительству любителя аниме Валерона из г. Чебоксары

На тот момент в его копилке было 63 домена. Вы думаете, что он осознал свою неправоту и успокоился? Ничуть! На волне славы и бесплатной рекламы он наплодил еще 46 доменов за 57 дней. И если 2 месяца назад его любимым банком был ВТБ, то потом он переметнулся на РНКБ, а теперь наконец он обратил взор на Сбер.

Сайт sberbank-akcia.ru открывается только с мобильного устройства и пытается выведать логин, пароль и номер карты клиентов Сбербанка. Валерон верен своим традициям, поэтому шаблон фишинговой страницы перекочевал напрямую из схемы с ВТБ вплоть до комментария о том, что на карте должно быть не менее 5 тысяч рублей, а SSL-сертификат так же, как и в прошлый раз был начисто проигнорирован. Только хардкор, только http на странице авторизации банка.

Ну а нам остается лишь позавидовать бесстрашию этого давно сдеаноненного чебоксарского парня, с каждым новым доменом прибавляющим себе дополнительный эпизод в папочку товарища майора!

in2security

25 April 2023 18:23

За последние полгода произошел целый ряд инцидентов, затрагивающих 1С. Сперва «досталось» серверу Bitrix24, потом сервису 1С:Урок, а сегодня в дарке появилось сообщение о том, что взлому подвергся 1cbit.ru.

Согласно опубликованной информации, злоумышленникам удалось выгрузить более 24 терабайт данных. Сайт 1cbit.ru в настоящее время недоступен, но еще несколько минут назад на нем висело вот такое сообщение.

in2security

21 April 2023 11:44

В продолжение вчерашнего поста. Та же самая схема, только теперь речь идет уже не о выплатах студентам, а о бесплатном обучении на водительское удостоверение. По итогу же жертву опять перекидывают на сторонний ресурс с уникальным токеном, на этот раз https://telegram-access.online, на котором и происходит магия кражи аккаунта.

Судя по названиям принадлежащих владельцу доменов, он специализируется на взломе VK и Telegram. По сути, это одна схема, в которой разнятся лишь информационные подводки, а новые, как видите, появляются буквально ежедневно. С начала года мы зафиксировали уже несколько десятков вариаций на эту тему.

in2security

13 April 2023 17:06

Могли ли злоумышленники пропустить такой прекрасный информационный повод, как Реестр военнообязанных и электронные повестки? Конечно нет! И несмотря на то, что в этот раз раскачиваются они довольно долго, интересные схемы все равно встречаются.

За последние дни в российском сегменте интернета появились следующие новые домены:
реестр-военнообязанных.рф
реестрвоеннообязанных.рф
пришлаповестка.рф
онлайнповестка.рф
prishlapovestka.ru
vseoreestre-prizyvnikov.ru

Большая часть из них неактивна, но вот домен «онлайнповестка.рф» ведет нас на сайт, на котором всего за 99 рублей предлагается проверить, не пришла ли вам электронная повестка. Вводим ФИО… данные карты… Стоп. Почему оплата идет в счет сайта https://mybodyfit.ru/? Зачем нам подписка на онлайн-курсы по фитнесу, ведь мы хотели проверить себя через реестр военнообязанных…

На самом деле все просто, мы неоднократно писали об этой схеме. Владельцу сайта с повестками принадлежит целый букет ресурсов, в том числе:
https://mybodyfit.ru/ - онлайн-тренировки по фитнесу
http://checkvk.ru/ - проверка посетителей страницы в VK
http://instascanner.ru/ - Инстаграм-шпион
http://donatpizza.ru/ и http://storemine.ru/ - покупка скидочных кодов
И прочая ерунда типа сайта: http://zldayz.ru/

При оплате любой услуги на этих сайтах пользователь автоматически оформляет ежемесячную подписку на онлайн-курсы по фитнесу, отписаться от которой будет не так просто.

Создатели сайта с повестками настолько обленились, что в качестве контактной почты оставили адрес vkcheck@inbox.ru. Этот же адрес фигурирует и на сайте с фитнес-курсами. А вот в пользовательском соглашении упоминается уже другой адрес - VkSkanner@mail.ru и сайт https://vkskanner.ru.

Вот так вот в одном месте смешались VK, повестки и фитнес.

in2security

09 April 2023 19:49

Кстати, владелец сайта про дельфинов не ограничивается лишь спасением морских млекопитающих, ведь ему принадлежит еще и фейковый сайт банка ВТБ - http://vtb-invest.ru.

Шаблон страницы хорошо знаком, он использовался на десятках фишинговых сайтов, только вот то были ресурсы по типу фейковой инвестплатформы от Газпрома, здесь же схема явно отличается.

Анализ кода страницы расставляет все по местам: кто-то взял сделанный на Tilda шаблон лендинга фейкового инвестиционного сайта и переделал его под свои задачи. Именно поэтому часть классов в коде имеет имена, сгенерированные конструктором Tilda, другие же явно придуманы человеком. Кроме того, в коде обнаруживается упоминание другого ныне недоступного фейкового сайта ВТБ - https://vtb-invest.finance.

Как и в случае с дельфинами, владелец сайта не стал заморачиваться с SSL-сертификатом. Он просто взял и… сделал всплывающее окно с сообщением о том, что соединение защищено! Мамкины вебмастеры, берем на заметку.

В остальном все стандартно. После ввода данных пользователя и кода получения средств (длиной более 6 символов), жертва попадает на страницу vtb-invest.ru/verified, на которой требуется ввести номер банковской карты. Корректность ввода номера не проверяется, зато проверяется соответствие BIN-ам:
220024
220065
536829
489347
676907
554386
427230
639002
471487
427229

Ну а дальше все стандартно: введите код из СМС, введите его еще раз… И так до тех пор, пока любо деньги на карте не закончатся, либо доступ в личный кабинет не пропадет.

in2security

09 April 2023 14:50

Спасем дельфинов с эскортицами.
Ну да, вот такое странное предложение предлагают наши литовские «друзья» на сайте http://golos-girls.ru/
Схема простая - выбрать девушку, данные которых спарсены с сайта эскортниц (ссылку давать не будем, в исходном коде сами посмотрите) - указываете количество голосов которые пойдут якобы в фонд помощи «Спасения дельфинов Сочи» (нет такого конечно) и вводите данные своей карты, чтобы списались все ваши деньги. Фишинг для мамонта с использованием млекопитающих. Жмудь старался, жмудь молодец.
Хотите реально помочь дельфинам - гуглите Центр спасения дельфинов «Дельфа».

in2security

03 April 2023 13:10

Безопасность на авось…
Сегодня на популярном каждый раз возрождающемся словно феникс из пепла дарк-форуме, посвященном утечкам, выложили клиентсткую базу, которая, согласно описанию, может принадлежать сети мазагинов «Авоська».

В авоське обнаружилось примерно 2000 строк, содержащих:

ФИО
Пол
Телефон (1850 уникальных)
Email (88 адресов)
Хэши паролей
Адреса
Баланс бонусных баллов…
…и массу прочей служебной информации.

Выложенный дамп не похож на компиляцию или перелицованную старую базу. Несмотря на заявленную актуальность – 2019 год, в базе присутствуют записи от 2 апреля 2023, так что инцидент по всей видимости произошел вчера.

in2security

24 March 2023 12:02

Познавательная пятница на канале In2security

Знаете ли вы, какая доменная зона чаще всего используется для скама и фишинга?

Можно было бы предположить, что это бесплатные африканские домены типа .CF, .MD и так далее, предлагаемые регистратором Freenom, получившие широкую популярность у скамеров в 2020-2022 годах. Но это не так. В топе доменных зон, используемых для фишинга, уверенно лидирует зона .TOP, простите за каламбур.

Минутка занимательной статистики.

В марте этого года было зарегистрировано чуть более 126 тысяч доменов *.TOP. Из них более 120 тысяч (95%) – это доменные имена, представляющие собой произвольно сгенерированные буквенно-цифровые комбинации или шаблонные домены-прокладки по типу тех, что используются в мошенничествах на маркетплейсах.

Производительности злоумышленников можно только позавидовать. В среднем в сутки в зоне .TOP появляется порядка 5 тысяч вот таких доменных имен. Конечно, не все они задействованы под скам. Выборочный анализ показал, что немалая их часть используется для… адресации онлайн-казино, что, впрочем, не многим лучше.

Вряд ли Китай, который является владельцем зоны .TOP подозревал, как именно она будет использоваться спустя 12 лет после её появления. Изначально планировалась, что домены .TOP будут ассоциироваться с чем-то топовым и люксовым, но вот только по состоянию на сегодняшний день новые осмысленные доменные имена в зоне .TOP практически не появляются. Количество новых доменов, содержащих слова из европейских языков не превышает полутора процентов, а остальные 3,5 процента приходятся на китайские домены.

in2security

22 March 2023 20:22

Сегодня у нас день Сбера. В сеть выложили второй файл, предположительно имеющий отношение к бонусной программе «СберСпасибо».

Структура нового файла совпадает с предыдущим. В нем так же содержатся номера телефонов, даты рождения, регистрации в сервисе и последнего входа, а также хэшированные номера карт.

Файл содержит: 4 541 015 строк.
Уникальных номеров телефонов: 4 532 480.
Актуальность базы – 22 января 2023 года. Последняя дата имеет временную отметку 22 часа 03 минуты.

in2security

21 March 2023 11:00

Волна взломов Telegram-аккаунтов продолжается уже полгода. И если сама схема принципиально не меняется, как и шаблон, то вот легенда, использования для заманивания на фишинговый сайт, претерпевает изменения.

Если в последние месяцы в тренде были голосования, то теперь мошенники перешли к петициям. На скриншоте вы можете видеть пример фишингового сайта petitiongram.ru, на котором предлагается подписать петицию о запрете добычи нефти на Аляске. Сейчас эта тема весьма актуальна, существует соответствующая петиция на change.org, а посты с просьбой подписать её активно разгоняются в VK и на других площадках, так что найти потенциальную жертву, озабоченную вопросами экологии, будет не сложно.

Обратите внимание, что фраза про петицию написана человеком, весьма своеобразно владеющим русским языком. Впрочем, это не мешает ему активно скамить русскоязычное население. В его копилке имеются фишинговые проекты под Avito, Discord, Steam, МВидео, VK, Мособлэнерго, Yandex, кредитные организации, а также фейковые криптовалютные проекты и сайты театров. Общее количество принадлежащих владельцу доменов составляет 2,5 тысячи – явная заявка на рекорд.

in2security

29 May 2023 12:47

Не секрет, что компании и частные исследователи, занимающиеся выявлением фишинговых доменов в последние несколько месяцев завязли в массе сайтов которые связаны с голосование в Тelegram. Примитивные домены, примитивный лендинг - никакого удовольствия такие отрабатывать.
Как вдруг, вчера были созданы новые belarusscape.ru, belaruscas.ru и belaruscap.ru - заточенные на западного потребителя, Такие же простенькие, как и у нас, но сделаны уже чуть симпатичнее, да и денег сразу предлагают за голосование.
Поэтому обращение: Граждане Бандиты, что за пренебрежение в отношение отечественного фишинга? Наведите красоту сначала у нас, а потом уже экспортируйте… если успеете.

in2security

27 May 2023 08:31

Утекло и точка.
Сегодняшнее утро началось с того, что в канале одной весьма активной в последнее время хакерской группы выложили файл, который, согласно описанию, представляет собой базу данных соискателей работы в сети «Вкусно и точка» (https://rabotaitochka.ru).

База содержит 295 914 строк. Формат данных: ФИО, возраст, гражданство, телефон (215 677 уникальных), вакансия, место работы, статус работы, результат прохождения теста для соискателей и прочая служебная информация. База охватывает временной промежуток с 1 января 2018 по 25 мая 2023 года.

in2security

21 May 2023 09:27

2 дня назад на доменную зону .RU напал AI и GPT... ведь именно такое мнение складывалось от одновременно зарегистрированных 120 доменов, использующие в наименование популярный бренд + ai\gpt
Аналитики встали в охотничью стойку, в ожидание новой мошеннической схемы с искусственным интелектом, но WHOIS разочаровал - владелец доменов Нижегородская АО «Финтех», созданная в 2022 году директором Алексеем Костиным. Кстати, ранее он владел компанией ООО "ОК", но она была закрыта в 2018 году после проигрыша в суде как третье лицо - видимо за создание и продвижение сайта нелегально использующего товарный знак истца "INTERMODA", хотя писали про себя - что создают и развивают стартап-проекты...к успеху шли...
Что Костин задумал делать с новыми доменами использующие все самые популярные бренды и модный сейчас GPT - таки будем посмотреть...

in2security

07 May 2023 21:00

Это frame-up или это паранойя...
Выявить масштабную провокацию на ранней стадии - очень сложно, но попробуем. Ведь нужно обратить внимание на некоторые мелочи, которые как-бы выбиваются из общего фона. Возьмем для примера вчерашний сайт https://sdelaysvoyvibor.ru/ - на первый взгляд все нормально, Московская школа 1370 запустила проект для детей, наполовину доделанный сайт из шаблона... но смущает счетчик обратного времени - который истекает 10.09.2023 в Единый день голосования, а также опубликованный план - общий сбор на площади родителей и детей с автобусами и это скорей всего будет под лозунгами проекта "сделай свой выбор". На сайте школы информации нет, email не существует, телефон не доступен... Выводы делать конечно рано, но время покажет...

in2security

27 April 2023 21:43

В сеть выложили файл, который, согласно описанию, содержит данные клиентов «Альфастрахования».

Размещенный файл содержит 1 миллион строк, в том числе 971 724 уникальных адреса электронной почты, 807 950 уникальных телефонов. Актуальность – 19 апреля 2023 года. По словам злоумышленников, им удалось получить базу общим объемом 14 миллионов строк.

Структура данных: ФИО, дата рождения, email, телефон, хэш пароля.
В файле присутствует довольно много корпоративных почтовых доменов, что не удивительно, ДМС никто не отменял. Вот некоторые из них:
mafin.ru - 4.167
yandex-team.ru - 1.173
alfastrah.ru - 812
sberbank.ru - 762
auchan.ru - 719
x5.ru - 678
ngs.ru - 498
tele2.ru - 453
magnit.ru - 428
russianpost.ru - 239
pochtabank.ru - 225
lenta.ru - 220
ivi.ru - 217

А основным внешним лидогенератором похоже является сервис sravni.ru - заказы от этого агрегатора упоминаются в базе аж 91 723 раза.

Выборочная проверка данных подтверждает валидность записей. Похоже, что на рынке утечек "Согласия" может появиться достойный конкурент.

in2security

27 April 2023 15:55

Похоже, что отправлять чат-ботов в разведку пока рановато. Фейковый Telegram-бот, выдающий себя за GigaChat от Сбера, сперва выпалил заученную фразу о том, что он создан командой российских ученых, но быстро раскололся и начал рассыпаться в извинениях, мол его заставили, а на самом деле он основан на GPT-3 от OpenAI.

in2security

22 April 2023 12:40

Не любим мы писать про крипту, конечно, но вот вчера был создан сайт по обмену криптовалюты в Воронеже который поражает своей гармонией и простотой - https://www.obmenbtc.ru
Лендин сайта максимально прост - адрес и мобильный телефон. При этом как пишут - работают круглосуточно, исключительно для удобства клиентов. Кто еще в Воронеже поможет в 3 часа ночи срочно обменять криптовалюту на... простое "спасибо".
Также только ради Вашей безопасности эта компания попросит у вас удостоверить свою личность, указав персональные данные, чтобы предотвратить несанкционированный доступ на ИХ объект и выдадут вам на ресепшен ... внимание... электронный пропуск, который при выходе нужно сдать и это для безопасности клиентов.
Но кажется зря авторы сайта остановились в своей креативности, ведь на объекте еще установлен свет, который помогает клиентам передвигаться внутри, а также окна, чтобы клиент случайно не упал в оконный проем и его не продуло, а также предотвратили несанкционированное проникновение снаружи.

in2security

20 April 2023 16:16

А вот и очередная замануха на тему взлома Telegram. На этот раз предлагают не проголосовать за фото и даже не подписать петицию, а получить выплату, если вы студент, конечно.

Для того, чтобы стать на шаг ближе к 10 тысячам рублей вам придется всего лишь заполнить о себе такие данные, как ФИО, дату рождения, город, место учебы, образование и номер телефона, что уже само по себе представляет массив весьма ценных данных. Ну а после вы будете переадресованы на другой ресурс злоумышленника - web-tgauthing.ru с уникальным токеном, где вам предложат отсканировать QR-код в приложении Telegram, тем самым привязав к своему аккаунту чужое устройство. Стоит ли рассказывать о том, что владелец этого устройства получит полный доступ к вашим перепискам, а информация, которую вы предоставили о себе в анкете, поможет ему намного успешнее монетизировать ваш аккаунт. Впрочем, классический вариант с авторизацией по номеру телефона на фишинговом сайте тоже имеется.

С учетом того, что при сканировании кода в приложении Telegram привязка нового устройства происходит мгновенно, настоятельно рекомендуем использовать двухфакторную аутентификацию. В данной конкретной схеме её обход не предусмотрен.

in2security

10 April 2023 20:49

Сегодня в даркнете выставили на продажу базу, которая, согласно описанию, принадлежит порталу по продаже билетов на различные мероприятия http://kassy.ru.

Продаваемый архив состоит из 116 CSV-файлов, в сумме содержащих 16 миллионов строк, в том числе:
База содержит:
Логин
ФИО
Номер телефона
Хэш пароля
E-mail
Пол

В настоящий момент сайт kassy.ru недоступен.

in2security

09 April 2023 15:16

P.S. наш анонимный подписчик решили немного поправить содержание сайта.

in2security

04 April 2023 16:47

Сегодня нам встретился новый шаблон сайта фейкового инвестпроекта от Газпрома (первая картинка).

Почему мы решили поделиться этой информацией? Да просто сложно найти более активную и при этом более консервативную схему. Несмотря на то, что новые сайты стабильно появляются на протяжение последних четырех лет в количестве от 5 до 15 в день, за все эти годы основной шаблон фейковых ресурсов практически не изменился – мы регулярно фиксируем сайты, которые выглядят ровно так же, как и те, что мы находили 3-4 года назад.

У схемы существует целый ряд форков. Помимо инвестиций от Газпрома, Газпромбанка, Газпром нефти или Газпром инвестхолдинга, существуют варианты, связанные с несуществующими организациями, например Газинвест или Газ руси, сайты, нацеленные на граждан других стран, в частности Польши, Молдовы и Узбекистана, а также фейковые инвестпроекты от имени Илона Маска и прочих успешных людей (недавний пример с Германом Грефом тоже из этой серии). Также нередко используются дополнительные веб-страницы, имитирующие сайты новостных агентств, чаще всего РБК, раньше были популярны еще и фейковые выпуски теленовостей, но в последнее время они практически полностью сошли на нет.

Несмотря на то, что в последние 3 года такие ресурсы в основном используют домены третьего уровня, а также доменные имена, никак не связанные с Газпромом, это не мешает нам пачками обнаруживать их по другим признакам. Так что если хотите погрузиться в мир фейковых инвестиций, вот вам свежий улов:
https://delicakdmg.space/
https://quest.trading-investing.ru/
https://pilimorv.space/
https://racetovan.com/
http://getnewsolutions20223.cfd/
http://gnvesting.online/
https://exxclusivesafety.site/
https://raprepair.com/
https://jerfamir.com/offer/
https://kilimanro.com/
https://lilliroud.com/
https://takebestsalary.click/
https://goodsolution23.com/

in2security

31 March 2023 14:03

Нас часто спрашивают о том, как нам удается в короткое время анализировать большие массивы доменов и выявлять среди них целые группы, заточенные под скам и фишинг! В этом нам помогают коллеги с канала CyberSquatting RU Alerts.

Каждый день они выкладывают новые порции новых доменных имен, с которыми явно все не чисто, будь то домены, похожие на популярные бренды или домены, зарегистрированные в рамках различных популярных мошеннических схем.


Если вы полны желания изучать фишинговые схемы и выводить мошенников на чистую воду, то вот вам отличный источник информации для старта.

in2security

24 March 2023 10:09

Для того, чтобы перечислить все бренды, задействованные в схеме с фейковыми опросами, которую мы назвали «Хамелеон 2.0», не хватит пальцев и на двух руках. И вот новый бренд в копилке – «Вкусно и точка».

Кстати, наш бдительный подписчик заметил, что на сайте вместо месяца "март" написано "маршировать" - автозамена не щадит даже мошенников!

Данный мошеннический сценарий прекрасно зарекомендовал себя в последние 2 года и ничуть не собирается отправляться на покой. Напомним суть схемы «Хамелеон 2.0». Сообщения со ссылками на вредоносный ресурс распространяются в мессенджерах, причем отправляют их сами пользователи – для получения подарка необходимо поделиться информацией о розыгрыше с парой десятков друзей. После перехода по ссылке пользователь попадает не на сам фишинговый сайт, а на один из произвольно сгенерированных доменов и лишь после нескольких редиректов через такие же безликие домены оказывается непосредственно на сайте с опросом. Цепочка редиректов постоянно меняется, а фишинговый сайт откроется лишь тому, кто попадет на него через переадресацию с одного из промежуточных ресурсов. Это обеспечивает высокую стабильность схемы и защиту от обнаружения.

Впрочем, мы давно раскусили принцип её работы и без труда выявляем все сайты, задействованные в фишинговой цепочке.

in2security

22 March 2023 13:49

Злоумышленники часто используют образ медийных персон для вовлечения людей в различные авантюры. Больше всех достается Илону нашему Маску, периодически мелькает Дуров, но и Герман Греф не отстает в популярности. Фейковые профили Германа Оскаровича в соцсетях появляются буквально еженедельно, а вчера в сети появилось целых три сайта, предлагающих обучение по программе «Инвестиции для начинающих» от главы Сбера:

http://герман-греф.рф/
http://школа-грефа.рф/
http://обучение-грефа.рф/

Сайты выполнены на привычном шаблоне для ресурсов фейковых инвестиционных программ, сверстанном в Tilda, а политика обработки персональных данных настолько плоха, что не годится даже для палатки по продаже шаурмы, телефон и адрес позаимствованы у «Школы 21» (https://21-school.ru/) – бесплатной школы программирования от Сбера, не имеющей ни малейшего отношения к тематике инвестиций.

В современных реалиях отслеживание случаев использования образа публичных личностей и топ-менеджмента крупных компаний – это не прихоть, а насущная необходимость, ведь подобная кража личности может повлечь последствия зачастую даже более серьезные, чем злоупотребление брендом компании.

in2security

20 March 2023 17:01

В современном мире скама все максимально автоматизировано. Это касается и мошенничеств на торговых площадках, и многих видов фишинга, равно как и других вредоносных активностей. Автоматизация делает осуществление атак проще и значительно снижает требования к квалификации атакующего.

Перед вами пример фрод-комбайна Fraudopedia, развернутого на российском домене fraudopedia.ru. OTP-боты предназначены для кражи одноразовых кодов (паролей) доступа в рамках двухфакторной аутентификации. Доступ к подобным инструментам как правило осуществляется по подписке.

Владелец домена – весьма активный человек. Среди его ресурсов встречаются:
https://fpedia.ru/login - еще одна Fraudopedia
https://avito-sms.ru/ - обход двухфакторки на Авито
https://pleaks.ru/index.php - польскоязычный форум об утечках
https://bunkr.su/ - файловый сервер для хранения утечек.

А также онлайн хранилище для вредоносного п/о, криптер троянов, сайт с форекс-ботами, онлайн-кинотеатр, фейковый ресурс польской службы доставки, домены, заточенные под фишинг от лица европейских банков и многое другое.

Несмотря на то, что человек явно ориентирован на работу по Европе и скорее всего имеет польские корни, располагается все это добро на российских доменах, причем не только .RU, но и .SU, что вообще редкость. В текущих условиях заблокировать такие домены европейским компаниям будет сложнее, чем обычно, а если припечет, то всегда можно сослаться на русских хакеров.