in2security

02 September 2023 08:55

Банковские мошенники добрались и до OZON.
Сценарий правда стандартный - авторизуйся и получи 6000 рублей...
Раньше кстати было 3000, но это другие банки, ведь новый сайт требует удвоенного внимания.
Как обычно мошенники убрали лишние ссылки, чтобы потенциальная жертва не нажала куда не надо.
На скринах показан фейковый и оригинальный сайт - разница очевидна.

in2security

23 August 2023 14:10

Ну вот и дошло письмо до Деда Мороза и мошенники все-таки решили поменять цель атаки с Telegram, на Whatsapp. Все остальное осталось прежним: заманивают на сайт проголосовать, после чего просят ввести номер и... привязывают мессенджер к другому устройству. Все ссылки на сайте кроме входа с формой ввода номера стабильно не работают, чтобы жертва уж точно не промахнулась... а то начнет кнопки нажимать, сломает еще что-нибудь.
Пока что не все сайты запущены, так как большинство доменов было зарегистрировано буквально вчера.

battle-whatsapp.ru
golos-whatsapp.ru
whatsappbattle.ru
whatsapp-golos.ru
whatsapp-konkurs.ru
whatsapp-battle.ru
whatsappgolos.ru
whatsapp-golosni.ru
whatsapp-golosme.ru

in2security

12 August 2023 08:35

Какие-то очень ленивые или не опытные люди 2 дня назад запустили "подарочный" сайт spbpays.ru.
Ранее действовали от имени банков или крупных компаний, теперь решили не мудрить, так как угадать с банком не всегда удавалось и блокировали быстро, поэтому теперь от СБП. Украли форму у банка Русский стандарт, не убрав источник из исходного кода, а также оставив все их реквизиты в гиперссылках контактных данных, так еще и код им писал какой-то школьник, упорно комментируя весь скрипт, какая функция что делает, как на экзамене. Зачем заполнять номер банковского счета в СБП - загадка.
Но и такие усилия не принесли пользы - все зависает после ввода данных. Нас просят ожидать когда у людей появятся силы на привязку формы ввода данных карты.

in2security

29 July 2023 00:40

Сегодня хакеры сообщили, о взломе клинико-диагностической лаборатории KDL.
Для подтверждения был выложен файл размером 290Мб, содержащий более 151.000 строк обращений клиентов, датируемых с 02.10.2021 по 23.03.2023. База содержит персональные данные клиентов, такие как ФИО, контактный email (более 47.000) и телефон (более 51.000) и конечно же текст обращения в лабораторию.
Насколько данные соответствуют действительности - узнаем завтра из новостей.

in2security

19 July 2023 15:28

Тут нам случайно попалась продуманная схема мошенничества, которая работает уже больше года.
Проект Сбердао.

Этап 1 создать инфоповод, если вдруг кто-то будет гуглить фонд
В декабре 2021 мошенники сочинили статью и разместили ее на доступном ресурсе , где процитировали интересных людей, но кроме этой статьи подтверждения из других источников не обнаружились.
Рассказ в статье о якобы новом сервисе от Сбербанка - "Сбердао" и его сотрудничество с благотворительным фондом "Дети-бабочки". Но - фонд есть, сервиса нет.

Этап 2 создание платформы
22.03.2022 мошенники регистрируют (через компанию, которая регистрирует домены на себя) как минимум 2 созвучных домена sberdao.ru и sbrdao.ru, где размещают предложение пожертвовать фонду деньги.
Получаем домены оформленные на юридическое лицо.

Этап 3 собираем бабло в течение года.
Блокировать такие домены достаточно сложно, так как фактически они ничего не нарушают. У Сбербанка нет зарегистрированной торговой марки - Сбердао, а значит даже нет незаконного использования бренда.

Еще раз обращаем внимание.
Прежде чем вводить данные карты изучите сайт. Например в Сбердао:
1- ссылки на оферту нет
2 - Зайти в личный кабинет не получиться - "нет связи с системой", а вот ввести данные своей карты - всегда пожалуйста.
3- ну и конечно нет реквизитов и дополнительной информации.
Дарите добро на официальных ресурсах.

in2security

05 July 2023 15:43

Бесплатная медицина закончилась, теперь только за деньги...
Прошлая неделя принесла нам утечки данных из клиники «Дов-Центр» и сети медцентров «Наука», а сегодня в сети выставили на продажу базу, предположительно принадлежащую Московскому клиническому научному центру.

База содержит 238 тысяч строк в формате IP-адрес, ФИО, адрес, электронная почта, логин, хэш пароля, полис ОМС, телефон. Весьма удивительно, что данные выставлены на продажу, так как подобным перечнем полей ужа давно никого не удивишь и подобные базы появляются бесплатно практически ежедневно. Так что можно ожидать, что и эти данные скоро отправятся в путешествие по интернету.

in2security

29 June 2023 14:25

Не все VPN-сервисы одинаково полезны. Помимо рисков, связанных с обеспечением конфиденциальности информации, можно нарваться и на откровенно фейковый сервис, такой как https://vpn-secure.ru. При попытке купить доступ у вас не будут списывать фиксированную сумму за услугу, у вас взломают личный кабинет онлайн-банкинга и оставят вас ни с чем.

Создатели сайта не поленились вставить проверку карты на валидность, зато откровенно забили на имитацию страницы ввода кода 3DS: вне зависимости от того, какой банк выпустил вашу карту, код придется вводить в форме от Сбера. Ну и в лучших традициях доморощенного скама скрипты вместе со всеми комментариями просто находятся в теле страницы.

Небольшая памятка для тех наших читателей, кто далек от интернет-эквайринга. Форма ввода кода из СМС должна находиться на домене вашего банка. Если вы видите такую форму на домене сайта, на котором вы намереваетесь что-то оплатить, будьте уверены, вас пытаются обмануть. Ну и конечно же внимательно читайте само сообщение с кодом – в нем будет написано, для чего именно используется присланный вам код.

in2security

28 June 2023 11:36

Как вы думаете, какой контент может быть у сайтов с доменами:
c-kad.ru
avt-odor.ru
cka-d.ru
a-vtodor.ru

Логично было бы предположить, что мы столкнемся с уже ставшем классикой мошенничеством на тему оплаты проезда по ЦКАД и другим платным дорогам. Но в наши дни фейковые сайты быстро меняют контент и зачастую домены, зарегистрированные под один бренд, на практике используются совсем под другой. Вот так и в этом случае: 3 домена из 4 в настоящее время задействованы для адресации фейковых сайтов по продаже авиабилетов. Сайты эти ничем не примечательны. Мы хорошо знакомы с этим фишинговым китом и не раз писали о нем. Вместо интернет-эквайринга на них используется ставший уже традиционным механизм угона доступа в личный кабинет онлайн-банкинга. Если открыть исходный код страницы и пробежаться по скрипту, механизм кражи аккаунта становится предельно понятен.

Зато четвертый домен - a-vtodor.ru – демонстрирует нам нечто новое. На нем висит клон страницы ООО «Единый оператор» в VK, вернее не совсем клон – контент берется из официального сообщества. Наиболее очевидное применение такого явления – прикрытие фишинговых страниц, которые доступны по уникальным ссылкам.

in2security

25 June 2023 14:23

Сегодня хакеры, которые ранее сообщали о взломе Университета Синергия, выложили остальные обещанные файлы. Интерес из которых может представлять только proftest_users - содержащий почти 700.000 контактных данных (имя, email и телефон) целевой аудитории. Но кого сейчас этим удивишь...

in2security

16 June 2023 09:30

Немного позитивного настроения в пятницу.
Китайские попытки косить под известные бренды давно известны, но раньше это было на уровне вещей, то сейчас переходит на онлайн торговлю. Однако российских пользователей спасает одно - китайцам достаточно сложно правильно перевести контент - в связи с чем встречаются интересные попытки мошенничества, однако реализация задуманного не дает даже малейшего шанса получить хоть какой-то профит от потенциальных жертв.
Ну действительно, кто захочет покупать в "очковой зоне" брюки в виде часов кусками на таких сайтах https://www.aviaparks.com (зеркало https://aviapark.org) или https://ottovip.top

Ждем ваши интересные находки в комментариях.

in2security

12 June 2023 21:48

Сегодня очередной жертвой утечки данных, по утверждению хакеров, стал модный маркетплейс-VK-коммунити themarket.io
Несмотря на лозунг "безопасная сделка для защищенной покупки" забота о самих пользователях оказалась не на высоте со стороны пермских иДНивидуальных предпринимателей Марины и Миши. Во всяком случае хакеры утверждают именно это и прикладывают БД с заказами (73 814 шт.), БД пользователей (259 958 шт.) и БД с данными о оплате (74 850 шт.). Актуальность 23.01.2018-06.06.2023. Вместе с историей покупок утекли и более критические данные - ФИО, контакты, адреса доставки, первые и последние цифры банковских карт.

in2security

08 June 2023 08:44

Злоумышленники продолжают выкладывать данные ритейлеров. Следующей в списке оказалась база, предположительно принадлежащая сети гипермаркетов Leroy Merlin.

В архиве Leroymerlin.zip размером 500 мегабайт содержится 2 файла: main.csv и market.csv.

Файл main.csv содержит 3 352 680 строк в формате: ФИО, телефон (2 693 231уникальных), email (3 133 405 уникальных), хэш пароля и кодового слова, дата рождения, регистрации и так далее, вплоть до номера ICQ. Почты в домене leroymerlin фигурируют в базе 18 113 раз.

Актуальность данных – 18 мая 2023 года

Архив market.csv содержит 1 750 227 строки в схожем формате. Актуальность данных – 20 мая 2023 года.

Параллельно были размещены базы, предположительно имеющие отношение к брендам «Едим дома», «Буквоед» и «Твоё».

in2security

06 June 2023 14:35

Данные 3 миллионов покупателей джинсов утекли в сеть. По крайней мере такой вывод можно сделать, увидев гуляющий по интернету архив с именем gloriajeans.zip.

Находящаяся в архиве база customers содержит 3 162 102 строк в формате: почта, телефон, ФИО, дата рождения, дата заказа.

Уникальных почт – 3 057 630
Уникальных телефонов -3 619 619
Актуальность базы – 18 мая 2023

База Users – 3 162 057 строк в формате: дата, почта, телефон.
Данные охватывают период с 02 февраля по 18 мая 2023 года.

Уникальных почт – 3 057 574
Уникальных телефонов – 3 223 389

В базах обнаружены 363 почтовых адреса в домене gloria-jeans.ru.

in2security

02 June 2023 18:47

Пятёрочка выручает.
Одна их главных новостей в российском мире утечек сегодня – публикация SQL-дампа, который предположительно принадлежит страховой компании «Ренессанс».

Размещенная база содержит 737 665 строк в формате: ФИО, email (600+ тысяч уникальных), телефон (300+ тыс. уникальных), хэши паролей, а также даты регистрации и последнего входа.

Этот инцидент с одной стороны продолжает череду утечек данных страховых компаний, а с другой – цепочку атак, связанных с внедрением бэкдора через уязвимости CMS Bitrix.

Но просто писать об утечках – это не наш метод. Так как проблема носит действительно массовый характер, мы хотим поделиться с вами разработанными TLC:Green и CyberOK рекомендациями по реагированию на подобные атаки. Надеемся, что эта информация поможет нашим подписчикам защитить их ресурсы, а в случае возникновения инцидента максимально быстро и эффективно нивелировать его последствия.

in2security

31 May 2023 17:07

Про фейковые банки мы писали много раз, а сегодня на повестке дня сайты фейковых МФО.

Один очень активный индивид настрогал аж 102 таких сайта. Рецепт прост: берем реквизиты реальной региональной МФО, делаем в конструкторе REG.RU простенький сайт-визитку, вырвиглазному дизайну которой позавидовали бы даже домашние странички на narod.ru образца 2000 года, меняем телефон на один из номеров в формате +7931111**** мелкого оператора связи для бизнеса… PROFIT!

Схема разводов на сайтах фейковых банков и МФО достаточно проста. Человек обращается в такую «контору», передает свои данные злоумышленнику, а злоумышленник… оформляет на его имя онлайн-кредит. В качестве приманки используется возможность получить первый заем под 0%.

Покопаться в списке доменов и насладиться шедеврами дизайнерского искусства можно по ссылке.

in2security

30 August 2023 11:13

Музыка нас связала...
Мошенники из Новосибирска не устают придумывать способы получить доступ к вашему Telegram.
Так как схема с "голосованием" давно всем надоела и не приносит пользы, наши новые друзья решили немного замаскироваться и предлагают приобрести подписку на Яндекс Плюс и VK Музыка.
Заполняете любые данные и неожиданно просят привязать Telegram... после этого прощаемся с аккаунтом.
Дальнейшие действия злодеев уже зависят от того, что они нашли в переписке... или шантаж или просьбы друзьям оказать финансовую помощь.

in2security

17 August 2023 00:16

Давненько мы не писали о фейковых интернет-магазинах, что ж, исправляемся. Сайт http://motornayalodka.ru предлагает под конец сезона приобрести моторную лодку или каркасный бассейн с пятидесятипроцентной скидкой. Что же может пойти не так?..

Да в общем всё! Домен зарегистрирован 4 дня назад, сайт не имеет SSL-сертификата, зато имеет 10 страниц отзывов счастливых пользователей. Реквизиты компании украдены у фирмы «Прим-Восток» (http://www.primvostok.ru), а для оформления заказа необходимо указать свой WhatsApp. Зачем? Да все просто, открываем раздел «Оплата» и видим: «Мы оформляем безопасную сделку на имя получателя, вы получаете соответствующую информацию и запрос на оплату от "ПЭК". Далее вносите Депозит в "ПЭК" - равный полной стоимости вашего заказа».

Расшифровываем для тех, кто не понял: вам в WhatsApp присылают ссылку на фишинговую страницу, закамуфлированную под ПЭК, вы оплачиваете полную сумму и прощаетесь с деньгами.

Смотрим следующий пункт (орфография и пунктуация сохранены): «В случае если у вас возникли сомнения или вы считаете что доставленный товар плохого качества - Вы отменяете сделку и. ваши деньги в полном объеме возвращаются вам».

Тут говорится о том, что, если вас обманули и вы хотите вернуть деньги, введите данные карты в новую форму и сумма спишется у вас повторно.

По удивительному стечению обстоятельств в копилке доменов владельца магазина обнаруживаются домены: pecom-oplata13974.ru и pecom-oplata.ru. О чем это говорит? О том, что на фоне закручивания гаек на Авито и прочих маркетплейсах, любители мамонтятины осваивают новые горизонты и переносят привычные им схемы на фейковые интернет-магазины.

in2security

04 August 2023 23:09

Что почитать на выходных, в такую жару... конечно данные самого популярного сервиса электронных и аудиокниг Литрес.
Сегодня хакеры выложили исходник в размере 677 МБ, утверждая, что это база Литреса, которая содержит более 3 млн строк в формате логин, хеш пароля, email (579 384), ФИО (иногда).
Актуальность: 06.06.2023 - 03.08.2023
По статистике количество схожих доменов с litres.ru постепенно уменьшилось, однако теперь стоит ожидать массовые фишинговые и целевые атаки связанные с тематикой сайта.
Потому что ТИШИНА должна быть в библиотеке!

in2security

19 July 2023 20:30

Два дня назад достаточно успешная франшиза диагностических центров "Хеликс" предупреждала о задержках выдачи результатов анализов из-за хакерской атаки шифровальщика ... и похоже она была успешной.
Итог - в Даркнете выложили дамп БД клиентов компании размером 7,3 млн. строк.
Содержание: ID, персональный ID, ФИО, дата рождения... иногда почта, телефон, снилс
При этом хакер угрожает выложить более чувствительную информацию в ближайшее время.

in2security

10 July 2023 11:26

За 5 дней с момента запуска соцсети Threads от Meta было зарегистрировано более 2.5 тысяч доменов, имеющих отсылку к данной соцсети.

Основные тренды: криптовалютные и прочие финансовые пирамиды (23%); фейковые приложения (13%); накрутка подписчиков (11%); продажа рекламы (8%); а также различные прикладные сервисы: создание аватаров, скачивание картинок и видео, интеграция с другими проектами и т.д. Немало доменов было зарегистрировано и киберсквоттерами в надежде на последующую перепродажу.

В любом случае в ближайшие недели стоит ожидать дальнейшего роста активности мошенников в привязке к Threads.

in2security

29 June 2023 15:51

Полтора месяца назад на одном даркнет-форуме появилось объявление о продаже базы клиентов крымского банка. В качестве подтверждения прилагался фрагмент базы на 110 строк в формате ФИО, дата рождения, телефон, адрес. Адреса и телефоны имели четкую привязку к Республике Крым.

И вот вчера инцидент оброс новыми подробностями. Тот же автор на том же форуме разместил новое объявление, в котором указал, что база принадлежит Генбанку, содержит 198 512 записей и продается за 1000 долларов США.

Самым любопытным моментом в объявлении видится то, что автор утверждает о наличии у него полного доступа в инфраструктуру банка. Что ж, после придания инцидента огласке этот доступ, надеемся, будет перекрыт.

in2security

29 June 2023 11:39

В наши сети иногда попадается любопытный улов. Вот, например, 4 сайта, которые принадлежат одному человеку и имитируют страницы разных форумов:
Жкдоверие.рф
Закумский.рф
Обэп29.рф
Dunserv.ru

Дискуссии на форумах абсолютно идентичны, а ссылка в сообщении ведет на… фейковый сайт знакомств, который мимоходом собирает телефоны, адреса электронной почты, имена и пароли незадачливых посетителей.

in2security

27 June 2023 19:40

Злоумышленники продолжают атаковать сайты региональных медцентров.
Сегодня в сеть выложили SQL-дамп, предположительно имеющий отношение к махачкалинскому медцентру DOW Clinic.

Файл dow-clinic.sql размером 41 мегабайт содержит всю внутреннюю кухню сайта, включая публичный контент и сервисную информацию, такую как напоминания о посещения врача или уведомления о записи. Имена и должности врачей соответствуют именам, указанным на сайте: https://dow-clinic.ru.

В то же время анализ файла показывает, что он не содержит какой-либо критической информации, затрагивающей пациентов. Максимум записи в формате: «ИМЯ ОТЧЕСТВО Ф. ЗАПИСАЛСЯ К ВРАЧУ».

Актуальность данных – 24 июня 2023 года.

in2security

21 June 2023 17:17

Вчера злоумышленники выложили ролик, в котором, согласно описанию, показан процесс взлома приморского банка «Примсоцбанк», пообещав вскоре поделиться полученными данными, и не обманули.

Сегодня в сети были размещены два файла logcard.txt и pskb_user.sql. Первый содержит 7335 клиентских заявок за период с 16 февраля 2021 по 21 июня 2023 года. Второй – 91 124 строки в формате ФИО, дата рождения, электронная почта, адрес, телефон, паспортные данные, хэш пароля. Уникальных адресов электронной почты: 8772, из них 269 в домене pskb.com. Актуальность данных: 29 декабря 2022 года.

По словам злоумышленников, после вчерашней атаки сайт был восстановлен и… был атакован снова тем же методом, в результате чего опять ушел в оффлайн. На момент публикации сайт pskb.com недоступен.

in2security

13 June 2023 17:24

Не прошло и суток, а хакеры готовят новый слив платежных данных пользователей, на этот раз они утверждают, что готовы слить 90.000 строк сети магазинов спортивного питания SPORTFOOD. Как видно из скрина - сегодня хакеры разместили предложение о выкупе базы на самом сайте компании.
Пойдет руководство SPORTFOOD на сделку с хакерами или нет - время покажет.

in2security

09 June 2023 20:14

Читательская пятница на канале In2security!

В сеть почти одновременно выложили базы, которые предположительно могут иметь отношение к сети книжных магазинов «Читай Город», а также издательствам «Эксмо» и «АСТ».

Файл chitai-gorod-users.csv содержит 9 800 830 строк в формате: ФИО, email (9 513 599 уникальных), телефон (4 378 218 уникальных), дата рождения, логин + служебная информация вроде даты последней авторизации.
Актуальность данных – 28 мая 2023 года.

Файл ast.scv намного меньше – 87 479 строк в формате: ФИО, email (86 496 уникальных), телефон (9 682 уникальных), хэш пароля и контрольного слова, даты регистрации, последнего входа и т.д.
Актуальность данных – 3 июня 2023 года.

Eksmo.csv – 452 700 строк в схожем формате. Уникальных адресов электронной почты – 415 490, телефонов – 177 860.
Актуальность данных – 3 июня 2023 года.

in2security

07 June 2023 09:36

Череда утечек продолжается. Теперь в сеть выложили SQL-дамп, предположительно принадлежащий компании «Аскона».

Дамп объемом 1 гигабайт содержит 1.9 миллиона строк в формате: дата логина и регистрации, логин, хэш пароля и кодового слова, ФИО, email (уникальных: 1 324 509), телефон (уникальных – 1 757 182) и прочую служебную информацию.

Электронных почт в домене askona.ru – примерно 3.3 тысячи.
Актуальность данных – 20 апреля 2023 года.

in2security

06 June 2023 09:16

Приказ 66 для Ашана.
В сеть выложили данные, предположительно являющиеся сведениями о покупателях Ашана. Почти 8 миллионов записей датируемые с 10.05.2020 по 18.05.2023. При этом хакеры угрожают выложить данные еще 11 крупных компаний.

Формат выложенной базы: ФИО, телефон , email, адрес доставки.

in2security

01 June 2023 13:52

А у нас в квартире газ
Ценообразование в мошеннических Интернет-схемах вещь достаточно интересная.

Ведь хочется и получить побольше с одного мамонта, но при этом и не попасть под статью. Также сумма должна казаться жертве сопоставимой с реальной стоимостью товара/услуги.

Этой формуле придерживается и наш уникум со свежим фишинговым сайтом smorodina-gaz.ru

Да, уникум, так как отличается от остальных злодеев тем, что не берет деньги со всех подряд, а сначала проверяет действительно ли есть такой пользователь в Смородина.онлайн и выставляет нужную сумму для оплаты уже с использованием любимого всеми мошенниками шаблона.

Учитывая, что средний чек за газ в месяц составляет 150 рублей (привет Европа), то наш уникум рассчитывает на долгосрочную работу своего сайта, с большим количеством пользователей, а не бежит за быстрыми заработками и привлечением к себе внимания правоохранителей. Захотите ли вы погружать себя в бюрократию с заявление с ущербом на 150 рублей?

Но на самом деле все еще интереснее. Сайт использует популярную в фишинге последних лет форму кражи доступа в личный кабинет банка. Схема такова: вы вводите данные карты, вас переадресовывают на фейковую страницу 3DS, которая лежит на том же сайте, и предлагают ввести код из СМС. В этот момент злоумышленник заходит на сайт банка и пытается восстановить пароль от ЛК. Вы получаете код, но это код не на оплату, а на доступ в ЛК, после чего вас просят ввести еще один код – скорее всего это уже будет код подтверждения привязки нового номера, смены пароля и так далее.

Вот фрагмент из используемого скрипта:
desc2 = "Пожалуйста, введите ваш пароль в поле снизу для подтверждения покупки. Также Вам необходимо изменить текущий пароль согласно правилам безопасности банка. Эта информация не доступна интернет магазину."

А вот фрагмент, в котором злоумышленники меняют привязанный к ЛК банка телефон:
function changePhone()... ...else setCells(chphone, 'Новый телефон:', "<input id='newphone' type='text' name='NEWPHONE'></input>");

in2security

30 May 2023 17:00

Пицца урожая 2022 года

Практически ровно год назад мы писали о том, что некий хакер выложил в одном тематическом чате доступ к серверу сети пиццерий «Алло! Пицца» и написал, что он выкачал базу данных компании.

И вот сегодня база данных этой сети пиццерий появилась на одном тематическом форуме. База содержит 37 132 строки с информацией о заказах, в том числе:

ФИО
Адрес
Телефон (25 871 уникальных номеров)
Email (10 782 уникальных).

Актуальность базы – 24 мая 2022 года, что поразительным образом совпадает с прошлогодним сообщением о взломе сервера.