Infosecurity

2021-09-12 17:07:29 Если говорить коротко, мошенники создают фейковые сайты небольших российских нефтяных компаний, нефтебаз и нефтеналивных портов (как правило не имеющих собственных сайтов) и предлагают от их имени зарубежным, а иногда и российским компаниям приобрести партию нефтепродуктов на выгодных условиях. Подобные сайты всегда имеют англоязычную версию, а иногда даже не имеют русскоязычного варианта. Самая главная информация на них – это телефон и адрес электронной почты, которые в дальнейшем будут использоваться злоумышленниками для общения с жертвами.

За последние 2 года в наше поле зрения попадало более 1500 подобных сайтов. Используемый на сайте https://tatneft-samara.ru шаблон и описание являются типовыми для нескольких десятков фейковых ресурсов.

Обратите внимание на фразу: «доля ООО "Татнефть-Самара" в добыче нефти в России достигает 97%», она сразу говорит нам об ориентированности сайта в первую очередь на зарубежные фирмы, плохо представляющие, что происходит в России.
@In4security Открыть/Комментировать

2021-09-12 17:07:13 В списке компаний из вчерашнего поста помимо ритейлеров присутствует, в частности, «Татнефть». Это неудивительно, злоумышленники играют на популярности сети заправок, ежемесячно создавая фейковые сайты, ориентированные на клиентов. А вот фишинговые сайты, нацеленные на корпоративных клиентов компании «Татнефть» попадаются куда реже. Тем интереснее появление 10 сентября сразу двух доменов TATNEFT-OAO.RU и TATNEFT-SAMARA.RU.

На первом из них стоит редирект на официальный сайт, а это значит, что домен может применяться, например, для фишинговых почтовых рассылок от имени компании, причем как в адрес клиентов или партнеров, так и в адрес отдельных сотрудников.

На втором домене висит действующий сайт ООО «Татнефть Самара», не имеющий к данному ООО ни малейшего отношения, и являющийся классическим представителем схемы Russian Oil Scam, о которой мы неоднократно писали.
@In4security Открыть/Комментировать

2021-09-11 17:09:57 Российский ритейл снова под прицелом киберпреступников

Начиная с последних чисел августа мы фиксируем интенсивную атаку на российский ритейл-сектор. На сегодняшний дней под ударом находится порядка 15 популярных российских брендов, в том числе «Дочки Сыночки» «Красное и белое», «Бристоль», «Дикси», «Ашан», «О’Кей», «Wildberries», «DNS», «Связной, «Ситилинк», «Татнефть», «Huawei», а также «Теле2». Ознакомиться с примерами таких сайтов вы можете по ссылке.

Все сайты выполнены на едином шаблоне и предлагают пройти опрос от имени известной компании и получить возможность выиграть приз. Для имитации розыгрыша применяется популярная на сайтах мошенников схема с открытием коробочек. Естественно, с последней попытки жертва получает возможность забрать приз при условии, что отправит ссылку на розыгрыш 20 людям из контакт-листа или разместит ссылку в 5 сетевых сообществах в мессенджерах.

Подобная схема позволяет обеспечить широкое вовлечение потенциальных жертв и стремительное расширение их аудитории без использования громоздких и малоэффективных схем типа рассылки спама. Помимо этого, сам факт того, что человек получает ссылку на фейковый сайт от своего друга, заранее повышает шансы того, что он перейдет по ссылке и станет очередным звеном в цепочке распространения.

Исходя из количества задействованных брендов, можно говорить о том, что это самая массированная атака на клиентов ритейла в 2021 году.
@In4security Открыть/Комментировать

2021-09-09 19:30:59 Сайт из предыдущего сообщения взломали спустя пару десятков минут после нашей публикации. Придется искать новый инфоповод. Впрочем, это не сложно.

Вчера мы зафиксировали появление целого ряда доменов, эксплуатирующих бренды московских энергетических компаний.

И если в случае с Мосгазом (mosgazcentr.ru, mosgazexpert.ru, mosgazportal.ru, rusgazlife.ru, rusgazstore.ru, rusgnbexpo.ru и еще с десяток доменов), злоумышленники просто прикрываются его именем, предлагая пройти опрос, а после отправляя пользователей на сайт несуществующего сервиса Яндекс.Сбережения по адресу: https://newdividends.ru/lander/yandex/index.php.

То в ситуации с Мосэнерго атака идет уже на его сотрудников. На сайте https://med-mosenergo.ru предлагается ввести логин и пароль для доступа к медицинской карте работника, что может представлять серьезную угрозу безопасности персональных данных. По всей видимости, ссылка на сайт распространяется в фишинговых письмах, а с учетом узкой специфики, рассылка явно носит целевой характер.
@In4security Открыть/Комментировать

2021-09-09 15:29:32 На фоне пандемии сохраняется стабильный спрос на поддельные медицинские справки. Например, на сайте http://cmd-med-online.ru можно найти фейковую страницу Центра молекулярной диагностики CMD с результатами ПЦР-теста на коронавирус.

CMD вообще в последнее время привлекает внимание злоумышленников. В августе-сентябре было зарегистрировано 6 доменов, которые можно однозначно ассоциировать с сетью медицинских центров, а по крайней мере на двух из них обнаружены действующие фейковые сайты.

Параллельно появляются и новые сайты с поддельными сертификатами о вакцинации, например https://gosuslugyi.ru (домен зарегистрирован 30 августа).
Ну и отдельный интерес представляют ресурсы типа verify-cert-covid.ru или gosuslugi-covid-cert.ru, на которых стоит редирект на официальный портал. По факту это означает, что их истинный контент скорее всего доступен по уникальной ссылке.
@In4security Открыть/Комментировать

2021-09-06 21:01:43 С начала августа по настоящее время в сети появилось более 30 подозрительных доменов со словосочетанием bankpay. Классическим примером сайта на таком домене является https://bankpay-ds.ru.

Сведения о лицензии ЦБ позаимствованы у ООО НКО «ЮМани», правда дата регистрации для придания солидности стала старше на 3 года, а адрес не соответствует действительности. При этом в «подвале» сайта указано, что это «государственная платежная система»

По всем признакам ресурс создан для сбора логинов и паролей, которые потом как минимум попадут в базы данных публичных утечек. Домен не имеет отношения ни к одному банку, что вероятнее всего сделано для затруднения его блокирования. Впрочем, ссылки на сайт легко могут распространяться в фишинговых письмах от имени кредитных организаций. Поверьте, несмотря на то, что сайт не похож на ресурс какого-то определенного банка, всегда найдутся люди, которые введут свой номер телефона и пароль от онлайн-банкинга. Ну а дальнейшие события вполне легко предугадать.
@In4security Открыть/Комментировать

2021-08-30 09:56:54 Несколько дней назад мы обратили внимание на новость, в которой говорилось о том, что агенты ФБР задержали злоумышленника, взламывающего Icloud-аккаунты знаменитостей в поисках обнаженных фотографий. По данным агентства, 40-летний Хао Куо Чи представлялся сотрудником службы поддержки Apple, что позволило ему взломать как минимум 306 учетных записей.

Так как господин Чи явно не уникум, мы решили посмотреть, много ли у него коллег по цеху и как в целом обстоят дела с фишингом под Icloud, так как именно фишинг является главным способом взломов подобных аккаунтов. Что тут можно сказать, если бы мы составляли рейтинг самых популярных у злоумышленников сайтов, Icloud точно бы занимал в нем одно из первых мест.

Всего с начала года в сети появилось примерно 7000 доменов со словом Icloud в различных вариантах написания, что составляет почти 900 доменных имен в месяц Значительная часть из них весьма однозначно указывает на цели их регистрации и дальнейшего использования:
lcloud-id-support.live
lcloud-support.cloud
icloud-apple-verify.com
icloud-find-assistance.com

Иногда домены регистрируются пачками. Например, 30 января кто-то зарегистрировал сразу 60 доменных имен, созданных по схеме icloud-signin*.com, где * - переменный символ.

С учетом того, что Icloud – это не просто место, где можно найти чьи-то обнаженные фотографии, а буквально хранилище всех личных секретов человека, высокий интерес злоумышленников к взлому облачного хранилища будет прогнозируемо сохраняться.
@In4security Открыть/Комментировать

2021-08-26 17:32:30 Зачем же ждать? Все просто. Введенные данные прилетят в Telegram-бота, после чего специально обученный биоробот, считающий себя крутым хакером, будет пытаться залогиниться в систему онлайн-банкинга и обойти двухфакторную аутентификацию в ручном режиме, после чего у жертвы, по всей видимости, запросят еще один код из СМС.

Несмотря на то, что схема вполне работоспособна, Бендер не одобряет. Слава роботам!
@In4security Открыть/Комментировать

2021-08-26 17:32:19 Недавно мы писали о том, что злоумышленники используют любой инфоповод. Это правда. Даже тот инфоповод, который неактуален уже 2 месяца.

Весной ВТБ запустил конкурс для выбора имени своего голосового помощника, по итогам которого уже 22 июня было выбрано имя «Бендер». Казалось бы, вот и конец инфоповоду, но нет, ведь главным призом был iPhone 12, а желающие заполучить его найдутся всегда, так что мошенники решили слегка разнообразить свою деятельность и добавить к традиционным сайтам «опрос от ВТБ», появляющимся по паре-тройке штук в день, что-то новое.

Этим новым стал ресурс http://golosvtb.ru, предлагающий ввести имя голосового помощника, свой номер телефона, номер банковской карты и код из СМС, а потом подождать...
@In4security Открыть/Комментировать

2021-08-22 22:20:17 На известном англоязычном дарк-форуме выставили на продажу данные примерно 1.3 миллионов российский покупателей продукции Орифлейм в виде архива размером 700 гигабайт. Потенциальные покупатели могут ознакомиться с бесплатным пробником объемом аж 9 гигабайт.

Согласно размещенным продавцом сведениям, в его распоряжении находится 4 терабайта данных Орифлейм, затрагивающих пользователей из 44 стран мира, включая большую часть постсоветских государств.

Также продавец пишет, что имеет доступ ко всей глобальной базе данных покупателей и исходным кодам сайта. Кроме того, он предлагает посетителям форума самостоятельно выбрать, данные жителей какой страны будут слиты в сеть следующими, или вовсе выкупить базу целиком, не допустив тем самым ее попадания в публичный доступ.
@In4security Открыть/Комментировать