Infosecurity

2021-08-21 17:59:17 В последнее время значительно участились атаки на клиентов ВТБ. Конечно, он пока не побил рекорд Сбера, но уверенно занимает второе место в нашем рейтинге банков, клиенты которых наиболее подвержены фишинговым атакам. Только в августе мы зафиксировали более 60 доменов, предназначенных для обмана клиентов этого банка.

Свежий пример: vtb-prize.ru. Сайт сходу просит ввести номер карты, а потом код из СМС. Что произойдет дальше, думаем, объяснять не нужно.

Сайт хостится на Darkhost.pro по всей видимости потому, что данная компания предлагает первый месяц хостинга бесплатно. Настоящий подарок для создателей фишинговых ресурсов.
@In4security Открыть/Комментировать

2021-08-20 18:42:46 Начиная с июля месяца мы фиксируем волну появления фейковых сайтов по продаже билетов на выступления российских стендап-комиков. Классический пример сата: https://comedy-standuptickets.ru.

Каждый такой сайт позиционирует себя как официальный ресурс по продаже билетов. В пользовательском соглашении в качестве контрагента указано ООО «Небо Рекордс», которое, вполне очевидно, не имеет никакого отношения к данным сайтам.

На сегодняшний день количество таких ресурсов уже перевалило за сотню, и они продолжают появляться. Большая часть из них использует один и тот же шаблон с незначительными изменениями. Для оплаты используются платежные шлюзы-однодневки, например, pay-kassa24.ru.

Используйте проверенные сайты по продаже билетов, ведь заплатить деньги и ничего не получить взамен – не слишком смешно.
@In4security Открыть/Комментировать

2021-08-19 13:31:42 Желающему получить бесплатное угощение придется ввести ФИО, номер банковской карты и номер телефона. А после этого дважды передать злоумышленникам код из СМС.

Сайт убеждает нас в том, что безопасность данных клиентов банка гарантируется, а акция направлена на повышение лояльности клиентов. Однако никакой информации о том, какую именно пиццу дарит банк, мы не нашли. А вдруг клиент-вегетарианец получит пеперони?

Впрочем, итогом данного действа вполне очевидно станет не бесплатная пицца, а потеря доступа к личному кабинету онлайн-банкинга. Поэтому пиццу будет купить уже не на что.
@In4security Открыть/Комментировать

2021-08-19 13:31:21 В мае «Сбер» угостил пиццей промоутеров «Альфабанка», раздававших листовки у входа в его офис. Это событие не осталось незамеченным и упоминания о нем разлетелись по сети.

«Банк раздает пиццу… отличная мысль!» - решили мошенники и запустили этим летом акцию по раздаче пиццы от имени нескольких крупных российских банков. На сегодняшний день мы зафиксировали с десяток доменов, а новые фишинговые ресурсы появляются практически ежедневно. Наибольшее количество вредоносных сайтов предлагает пиццу от имени «Альфабанка», быть может в расчете на то, что у кого-то в голове всплывет тот самый инфоповод про Альфу, Сбер и пиццу, а кто уж там кому чего на самом деле раздавал – попробуй разберись уже.
@In4security Открыть/Комментировать

2021-08-17 17:41:16 В августе в сети появилось более 50 новых доменов со словами «нефть» и «НПЗ», примерно четверть из которых обзавелась полноценными фейковыми сайтами предприятий нефтегазовой отрасли.

Сама по себе схема Russian oil scam не нова, последние несколько лет мы фиксируем такие сайты тысячами. При этом в большинстве случаев мы не видим признаков противодействия со стороны кампаний, чьи ресурсы копируются злоумышленниками. В отличие от банковской сферы, где средний срок жизни вредоносного сайта составляет считанные часы, в случае с нефтяной промышленностью это недели и месяцы.

Это обусловлено тем, что нефтяные компании практически не уделяют внимание вопросам выявления фейковых ресурсов, а зря, ведь несмотря на то, что такие мошенничества не несут им прямые убытки, они в целом подрывают авторитет отрасли.

Второй причиной долговечности подобных сайтов является то, что злоумышленники часто создают фейковые сайты мелких НПЗ и нефтебаз, входящих в крупный холдинг, и подобные сайты просто не попадают в поле зрения головной компании, не имеющей в своем распоряжении эффективных инструментов мониторинга сети Интернет.

Самый красивый домен фейкового сайта нефтяной промышленности в августе - luckoil.ru – удача в чистом виде!

Ну и в завершение августовский топ-5 российских нефтяных компаний, чьи сайты наиболее часто копируются злоумышленниками:
Роснефть
Лукойл
Башнефть
Славнефть
Транснефть

@In4security Открыть/Комментировать

2021-08-16 17:17:33 Неуязвимость сетевых мошенников – это миф. Все они оставляют массу следов. Чем дольше злоумышленники работают на данном поприще, тем больше таких следов накапливается, а значит – тем больше данных для анализа и тем выше шансы выйти на след тех, кто обкрадывает наших сограждан.

Не раскрывая всех карт, демонстрируем, какие уникальные идентификаторы можно получить путем простого анализа исходного кода пары фейковых сайтов: https://te.legra.ph/Otdelnye-mazki-formiruyut-celuyu-kartinu-08-16
@In4security Открыть/Комментировать

2021-08-16 12:59:19 Мошенничества с газом идут на экспорт. Мы уже не раз писали о фейковых сайтах Газпрома, от которых никуда не скрыться в последние 2 года. Или о построенных на тех же шаблонах сайтах, посвященных инвестициям в военную промышленность и космос. Но российский рынок пресыщен различными социальными мошенничествами, так что они уверенно идет на экспорт.

Меняем Газпром на Orlen, русский язык на польский, и вот у нас уже есть готовый фейковый сайт, нацеленный на польскую аудиторию.
@In4security Открыть/Комментировать

2021-08-11 16:43:48 Тематика инвестиций не отпускает нас настолько, что мы решили нарушить наше табу и начать писать про криптовалютные проекты. Естественно, фейковые, ведь настоящие скучные и не сулят миллионов за ничегонеделание.

Сегодня рассматриваем криптовалюту имени Моргенштерна, которая заполонила интернет и сулит баснословную прибыль. Только вот знает ли Моргенштерн об этих проектах? Впрочем, даже если не знает, она в любом случае пойдет на пользу его популярности. Итак, встречайте MORGENCOIN: https://te.legra.ph/Guten-Morgen-mein-Stern-08-11
@In4security Открыть/Комментировать

2021-08-09 19:09:59 Атака явно имеет российские корни. Домены зарегистрированы через российских регистраторов, причем десяток из них вообще находится в зоне .RU. Это может быть связано с тем, что злоумышленники хотят охватить в том числе аудиторию российских туристов, привыкших за время пандемии к быстрой и удобной доставке еды.

Иногда хостинг скрыт за CloudFlare, в других случаях он также предоставляется российскими компаниями. Еще один маркер российской принадлежности ресурсов – использование аббревиатуры OAE в именах некоторых доменов.

Все сайты созданы на едином шаблоне, по всей видимости сделанном профессионалами и потом сдаваемом в аренду школьникам. В качестве получателя платежа на фейковом сайте Mcdonalds указан Pizza Hut, но кого волнуют такие мелочи? К слову, в августе было зарегистрировано 5 доменов (2 в зоне .RU) со словами Pizza Hut и Qatar.

Дальнейший анализ доменов также позволил выявить 4 фейковых сайта KFC для жителей Саудовской Аравии, сделанных по тому же принципу.
@In4security Открыть/Комментировать

2021-08-09 19:07:05 Начиная с последних чисел июля мы фиксируем массированную фишинговую атаку на клиентов Mcdonalds, находящихся на территории Саудовской Аравии, ОАЭ и Катара.

За это время в сети появилось как минимум 109 доменов, на нескольких десятках из которых висят действующие фишинговые сайты. Все они работают по одному принципу: жертве предлагается сделать заказ с бесплатной доставкой, после чего ввести данные банковской карты. При этом создатели ресурсов не стали заморачиваться соответствием меню: на фейковых ресурсах мусульманам предлагается бекон и ветчина.

Домены фишинговых сайтов сформированы по единым принципам. Например, для Саудовской Аравии это различные сочетания mcdonalds и Saudi, для ОАЭ используются частицы aed, uae и oae. Иногда в имени домена фигурирует цифра 50.
@In4security Открыть/Комментировать