Infosecurity

2021-06-08 17:29:30 Вот отличный пример фишинга под одного из крупнейших российских регистраторов доменов и хостинг-провайдеров.

Утечка логина и пароля от чужого хостинга позволяет злоумышленникам делать массу интересного: можно внедрить вредоносный скрипт на чужой сайт, можно разместить фишинговую страницу на чужом хостинге, можно добраться до чужих VPS и вообще творить все, что душе угодно.

Мы уже сталкивались со случаями, когда фишинговый сайт располагается на одной площадке с легитимным, будучи спрятанным в подпапке внутри, как, впрочем, и с ситуациями, когда пользователям сайта подгружают вредоносный пэйлоад или запускают онлайн-майнер.
@In4security Открыть/Комментировать

2021-06-01 18:30:34 Именно поэтому наше внимание привлекло вот такое объявление. На фоне других оно выделяется серьезным подходом к вопросу: тут и перечень документов, и внушительная цена, которая оправдывает риски для тех, кто будет делать такой сертификат. С учетом того, что срок изготовления сертификата – 22 дня, можно предположить, что тут не обошлось без своего человека на прививочном пункте, который сделает две полагающиеся прививки человеку-невидимке и внесет все необходимые записи в журналы и реестры.

Впрочем, такой «свой человек» замечательно выявится в ходе проверочной закупки,.тем более, что после трагических событий в Казани у правоохранительных органов возник вполне оправданный интерес к врачам, выдающим липовые справки.

Кстати, покупатели липовых справок тоже могут столкнуться с реалиями правосудия. С учетом последних изменений в 236 статье УК, если действия человека приведут к негативным последствиям, ему может грозить даже вполне реальный срок. А покупка липовой справки – это уже однозначно умысел.
@In4security Открыть/Комментировать

2021-06-01 18:30:04 В мае появилось примерно 360 новых доменов, имеющих отношение к тематике продажи сертификатов о вакцинации от коронавирусной инфекции. При этом большая часть действующих сайтов предлагает чистой воды развод, который виден невооруженным глазом.

Не отстают и продавцы нелегальных услуг в даркнете и профильных telegram-каналах. Новые объявления о продаже сертификатов о вакцинации появляются там примерно раз в 5-7 дней. Стоимость сертификата в большинстве объявлений колеблется в диапазоне от 2 до 5 тысяч рублей, а сроки их изготовления начинаются от 1 дня, что также дает основание усомниться в их подлинности.

Помимо сертификатов покупателю предлагают оформить справки о наличии антител и ПЦР анализ на коронавирус. Впрочем, с такими справками все проще: в реестры они не заносятся и при желании могут клепаться сотнями даже без участия медицинских работников (сделать печать в XXI веке уж точно не проблема).
@In4security Открыть/Комментировать

2021-05-29 10:24:08 ​​ 30 минут остается до начала конкурса по информационной безопасности, хакингу и деловой разведке ZERO-DAY. Участников ждет конкурсная программа по направлениям (CTF и OSINT), интересные выступления и подарки от организаторов.

Подписывайтесь на канал конкурса: @zeroday_spb
Мы будем выкладывать на нем самые интересные и горячие моменты Открыть/Комментировать

2021-05-26 20:54:48 А вы знали, что существуют хостинг-провайдеры, обслуживающие исключительно сетевых мошенников? Они делают вид, что находятся на Сейшелах, но на самом деле они куда ближе, чем кажутся. В этом выпуске рассказываем вам о том, как устроен бизнес российского абузоустойчивого хостера, продавшего душу сетевым проходимцам.
Можете смело отправлять их диапазоны IP-адресов в перманентный бан.
https://te.legra.ph/Landgard-services-05-26
@In4security Открыть/Комментировать

2021-05-25 17:42:11 При этом мы фиксируем повышенную активность мошенников, создающих и эксплуатирующих русскоязычные фейковые сайты пиццерий. Только за последний месяц нами было выявлено и заблокировано более 20 подобных ресурсов. Все выявленные сайты выглядят максимально достоверно, отличить их от настоящего неподготовленному пользователю будет непросто. Злоумышленники активно используют контекстную рекламу в поисковых системах, добиваясь того, что ссылки на фишинговые ресурсы выскакивают на самом верху страницы, до результатов поиска.

Так что, если вы решили заказать пиццу, не переходите по рекламным ссылкам и обращайте внимание на домен.
@In4security Открыть/Комментировать

2021-05-25 17:41:48 Пицца для мамонта
В 1997 году Михаил Горбачев снялся в скандальной рекламе сети пиццерий PizzaHut. Спустя 24 года наши соотечественники снова проявили неподдельный интерес к этой пиццерии, заделав фишинговый кит, ориентированный на зарубежную аудиторию и запустив его в свободное плавание. На некоторых ресурсах кит продается, на других его можно получить бесплатно, было бы желание.

Анализ доменов за апрель-май показывает, что в среднем фишинговые сайты PizzaHut появляются по одному в день. Впрочем, не одним ПиццаХатом жив фишинг, под ударом оказались и другие сети пиццерий. В лидерах находится PapaJohns – 300 подозрительных доменов за 2 месяца, другие известные международные сети показывают более скромные результаты – порядка 15-30 доменов, то есть один домен раз в 2-3 дня.
@In4security Открыть/Комментировать

2021-05-21 17:48:27 Клиенты Booking.com под ударом

Орда мошенников, паразитирующих на торговых площадках, активно расширяет горизонты. Мы уже писали об их экспансии на ЦИАН, Blablacar и всевозможные зарубежные торговые платформы. Теперь пришло время самой популярной площадки по бронированию жилья – Booking.com.

Схема особо не отличается от прежних: регистрируется объект недвижимости, предлагаемый в аренду по привлекательной цене. Доверчивой жертве будет отправлена ссылка на фишинговую страницу, содержащую форму оплаты. Далее потребуется ввести код из СМС и… Бинго! Деньги на счете злоумышленника.

Криминальная схема полностью автоматизирована и предлагается по модели CaaS, что привлекает в этот бизнес огромные толпы школьников, жадных до легких денег.

Только за апрель и май мы зафиксировали более 200 доменных имен, задействованных в обмане посетителей Booking.com.

Будьте внимательнее при планировании отпуска и производите оплату бронирования только на официальном сайте.
@In4security Открыть/Комментировать

2021-05-19 19:19:53 Похоже, что готовится очередная атака на пользователей всемирной сети. Ну а как еще объяснить появление 2 мая сразу 26 доменов со словом Dianol? Знаете, что это такое? Мы тоже не знали, а оказалось, что это растительный БАД «Дианоль», позиционируемый производителем как средство для лечения диабета.
 
Но почему же атака? Может это просто кто-то развивает торговую сеть? Давайте разберемся. Все домены имеют одинаковую структуру: dianol-*название страны*-*minzdrav*, *health* или *care* .ru. Все ресурсы спрятаны за CloudFlare, что затрудняет определение их физического местонахождения. К тому же все они при попытке открыть сайт осуществляют редирект на Google, что является весьма популярной в наши дни схемой сокрытия фишинга – фейковая страница откроется лишь по уникальной ссылке.
 
Что интересно, большая часть упомянутых в доменах стран относится к Восточной Европе  и Прибалтике: Болгария, Хорватия, Чехия, Словакия, Эстония, Литва, Латвия, Венгрия, Польша, Румыния и Словения. Однако в списке присутствуют и три западноевропейских страны – Греция, Испания и Австрия.
 
Атака скорее всего будет осуществляться с использованием почтовых рассылок, содержащих уникальные ссылки на фишинговые страницы. С учетом специфики БАДа, можно предположить, что рассылка будет носить адресный характер, например на адреса тех, кто ранее покупал характерное для лиц, страдающих от диабета, диетическое питание. Списки покупателей различных интернет-магазинов присутствуют в сети в большом изобилии. А упоминание в доменах стран в сочетании со словами «care» или «health» станет дополнительным аргументом для европейских пользователей, придающим весомость такому сообщению.
@In4security Открыть/Комментировать

2021-05-04 16:26:29 Но и эта схема не стоит на месте. В последнее время мы фиксируем появление новых видов ресурсов, имитирующих сайт Отдела противодействия мошенничествам ПАО «Газпром». Свежий пример: https://lgazprom.ru/.

Повторный обман жертв под видом помощи в возврате похищенных денег – история старая, обкатанная еще на нигерийских письмах и активно используемая в процессе мошенничеств на том же Авито.

Однако, в отличие от Авито, в данном случае пока сложно говорить о причастности создателей сайта к вышеописанным фейковым инвестиционным платформам. Вполне возможно, что на чужой проблеме захотели подзаработать совсем другие люди.

Что ж, как бы то ни было, подобного рода сайты выявляются нами и отправляются на блокировку в автоматическом режиме.
@In4security Открыть/Комментировать