Infosecurity

2021-07-13 17:40:57 Торговать газом уже не модно, теперь в тренде оборонка.

Популярная мошенническая схема с фейковыми сайтами «Газпром-Инвестиций» уже настолько всем приелась, что даже ее создатели это наконец поняли. За последние 2 года мы засекли более 500 ресурсов, предлагавших торговать газом. Все они эксплуатировали один и тот же шаблон, а для придания солидности снабжались еще и фейковой страницей популярного информагентства.

Теперь же в целях поднятия духа патриотизма горе-трейдерам предлагается инвестировать в ВПК. Шаблон сайта, к слову, остался прежним, создатели поленились даже заменить надпись «Министерство энергетики». Параллельно существует еще несколько построенных на этом же шаблоне сайтов, предлагающих другие виды инвестиций. Для маскировки используется домен третьего уровня, который, впрочем, легко обнаруживается через Passive DNS.

А нужно все это лишь для того, чтобы заманить пользователя на сайт, изображающий биржу, где ему придется внести депозит.
@In4security Открыть/Комментировать

2021-06-29 19:46:08 А что же с весной? С марта по май в сети появилось 66 доменных имен со словом «госуслуги». Тут ошибка вышла аж в 30 раз. Несмотря на то, что большая часть доменов не имеет отношения к коронавирусу, слова эксперта мягко говоря не соответствуют действительности.

Вот такой вот фактчекинг новостей от канала In4security. Ну а если вы сами хотите покопаться в доменах, мы заботливо подготовили для вас подборку с датами регистрации и залили ее на PasteBin: https://pastebin.com/K2DyttZX.

Хорошего вам вечера!
@In4security Открыть/Комментировать

2021-06-29 19:45:48 Сегодня одно уважаемое издание со ссылкой на не менее уважаемых экспертов написало, что весной фальшивых доменов госуслуг было всего 2, а сейчас их уже 29. Редакция нашего канала аж чаем подавилась от такого заявления.

Что ж, давайте перепроверим. Начнем с июня. В июне действительно наблюдается всплеск регистрации доменных имен со словом «госуслуги» в разных его вариантах. Всего с 1 по 28 июня было зарегистрировано 89 таких доменов. Уважаемый эксперт ошибся всего лишь в три раза.

Пик регистрации доменных имен начинается с 21 июня. С 22 по 28 июня было зарегистрировано как минимум 81 доменное имя. 15% зарегистрированных в июне доменных имен со словом «госуслуги» явно не имеют отношения к коронавирусу, но остальные вполне могут быть использованы для продвижения истории с QR-кодами. Некоторые из них прямо содержат слова covid, cert и так далее.
@In4security Открыть/Комментировать

2021-06-28 20:22:56 Вот вам пример того, как из официального приложения можно перейти на фейковый сайт.
@In4security Открыть/Комментировать

2021-06-28 20:19:36 Начиная с сегодняшнего дня для посещения кафе и ресторанов в Москве и области требуется предъявить QR-код, подтверждающий факт вакцинации. Так что же делать, если антител нет, а душа просит ходить по ресторанам? Рассказываем.

Существует 2 вида QR-кодов. Первый из них ведет на страницу gosuslugi.ru/vaccine/cert/verify/(код сертификата), второй на сайт: immune.mos.ru/qr?id=(другой код сертификата). По сути, это две равнозначные системы, просто проверка в них реализована чуть по-разному. На странице с подтверждением вакцинации можно увидеть сведения о владельце сертификата о вакцинации: первые буквы ФИО, дату рождения и срок действия. Госуслуги выдают еще и 5 цифр номера паспорта.

Если администратор кафе просто отсканирует QR-код и перейдет в браузере по ссылке, обмануть его не составит труда, благо инструкций в сети более, чем достаточно, а официант не обязан отличать настоящий сайт от ненастоящего. Именно поэтому некоторые официальные московские приложения получили функцию проверки QR-кодов со встроенной защитой от перенаправления на ненастоящий сайт. Только вот эта защита не работает. Она строится на том, что URL должен содержать определенные ключевые слова, имеющие отношение к официальным ресурсам, но она не проверяет в каком именно месте URL находятся эти ключевые слова.

Таким образом, для того, чтобы подделать qr-код, требуется примерно 200 рублей и 15 минут свободного времени. Ну и познания в области Ctrl+C, Ctrl+V на уровне пятиклассника, посетившего 3 урока информатики.

Нам кажется, мы только что обрушили рынок продажи нелегальных QR-кодов о вакцинации…
@In4security Открыть/Комментировать

2021-06-23 14:28:58 Давно мы не делали обзор банковского фишинга. Давайте посмотрим, что было интересного в июне.

На первом место фишингового рейтинга традиционно находится банк, занимающий первое место в рейтинге российских кредитно-финансовых организаций. В целом же пятерка лидеров выглядит вот так:

ВТБ – более 20 доменов, включая как фейковые страницы входа в личный кабинет, так и несуществующие инвестиционные программы. Среднее время жизни фишингового сайта – от 2 до 7 дней.

Райффайзен – более 12 доменов, не менее 8 действующих сайтов на протяжение июня (в том числе на доменах, не имеющих отношения к банку). Среднее время жизни – от 5 до 12 дней.

Росбанк – более 10 доменов, среднее время жизни – 3-5 дней.

В последние дни наблюдается повышенная активность по банку «Уралсиб». Зарегистрировано порядка десятка доменов, в том числе однозначно опасные uralsib-lagin.ru и uralslb-lagin.ru. Эти домены пока еще не замечены во вредоносной активности, но их написание однозначно намекает на то, что они еще выстрелят.

С учетом современных тенденций маскировки фишинговых сайтов интересно отслеживать то, как осуществляется камуфлирование подобных ресурсов. Вот, например, утекшее описание схемы работы банковского фишингового сайта, защищенного от обнаружения автоматизированными системами мониторинга:

Вход на лендинги открыт только для российских IP.
VPN, Proxy и боты запрещены. Туда же входят и мультилогины (индиго, сфера и пр.) и всякие сомнительные браузеры, устройства и режимы инкогнито. На всех лендингах стоит клоака (подмена контента) от ботов.
Для просмотра лендингов используйте чистое устройство и IP адрес!
Также, если ссылка вставлена из буфера или из закладок браузера - будет показан "белый" контент.
@In4security Открыть/Комментировать

2021-06-16 17:26:36 Infosecurity выступает информационным партнером десятой конференции ZeroNights, которая пройдет в летнем Петербурге

Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает отметить свое десятилетие в неформальной обстановке 30 июня в пространстве «Севкабель Порт». Вас ждет насыщенный день и мощная программа с тематическими активностями.

Для кого?
Среди участников конференции – технические специалисты, администраторы, руководители и сотрудники служб ИБ, пентестеры, программисты и все, кто интересуется прикладными аспектами отрасли.

Что будет?
– Доклады ключевых спикеров и выступления основной программы (клуб «МОРЗЕ»).
– Выступления секций Defensive Track, Web Village и Hardware Zone будут проходить на свежем воздухе в формате open-air на просторной набережной.
Крытые трибуны обеспечат слушателям комфорт в любую погоду.

Подробности, программа и билеты на сайте — https://zeronights.ru/
@In4security Открыть/Комментировать

2021-06-10 18:50:19 Ну и на десерт: зачем регистрировать два домена, если можно один? Фишинг под Raiffeisen располагается на https://www.quick-camel.com, а под ВТБ – на https://new.quick-camel.com.

Тенденция с доменами, которые не имеют отношения к организации, на клиентов которой они нацелены, сейчас проявляется достаточно ярко. Ведь можно, к примеру, зарегистрировать еще один домен, уже созвучный с названием банка, и уже на этом сайте открывать фишинг в iframe, как это реализовано в схеме «Хамелеон».

Впрочем, используемые нами технологии позволяют успешно выявлять и такой фишинг.
@In4security Открыть/Комментировать

2021-06-10 18:50:01 На сегодняшний день фишинг есть подо что угодно. Прошли те времена, когда его использовали в первую очередь для угона аккаунтов. Сейчас логины и пароли тоже ценятся, но куда чаще ценятся непосредственно деньги, которые можно украсть при помощи фейкового сайта.

Вот свежий пример – фейковый сайт Avtokod: https://avto-kod.pw. В отличие от настоящего сайта без оплаты вам не предоставляют никакой информации об автомобиле. Кроме того, на фейковом ресурсе отсутствует регистрация и пакетные предложения – лишь бы вы быстрее перешли к форме ввода данных банковской карты.

За последнюю неделю это уже как минимум второй сайт под автокод, так что будьте внимательны.
@In4security Открыть/Комментировать

2021-06-08 17:30:10 Выявленный фишинговый сайт располагается на сервере уже знакомой нам «компании» Landgard. После публикации нашей прошлой статьи про этот хостинг мы получили отличную обратную связь от наших читателей, что в итоге помогло нам отбить у Landgard Services диапазон IP-адресов: 94.154.129.0 - 94.154.129.255. Абузоустойчивый хостинг на поверку оказался не таким уж устойчивым.
Впрочем, у Landgard остался еще один диапазон 95.154.129.0-95.154.129.255, на который и переехали все новые фишинговые проекты. Но и это временно.
@In4security Открыть/Комментировать