Сегодня мы увидели информацию о том, что наши коллеги из мира | Infosecurity

Сегодня мы увидели информацию о том, что наши коллеги из мира ИБ обнаружили новый фишинговый сайт, который предлагал россиянам приобрести «отсрочку от призыва». В сообщении говорилось о том, что вредоносный сайт уже заблокирован, но мошенники могут запустить новую версию с другим адресом. На опубликованном скриншоте адрес сайта был замазан, но это неважно, ведь мы уже полтора месяца отслеживаем и блокируем подобные ресурсы, так что описываемый сайт был лишь одним из многих.

Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/

Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.

Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.

Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!

Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.

К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…