Infosecurity

2021-04-08 18:11:58 Реакция создателя фишингового TikTok-скрипта на публикации в СМИ.
Осторожно, нецензурная лексика.
@In4security Открыть/Комментировать

2021-04-08 18:10:10 Продолжаем наш TikTok морской бой. В прошлый раз мы благополучно потопили один из фишинговых сайтов, теперь пришла очередь нанести удар ко командованию этого флота.

Фишинговый скрипт предельно прост и является делом рук одного человека. Еще пара людей задействована «на подтанцовках».

О том, как устроен мир страшных TikTok-хакеров читайте в нашей новой статье: https://te.legra.ph/TikTok-04-08
@In4security Открыть/Комментировать

2021-04-07 15:10:43 Несколько дней назад мы писали про фейковые сайты по продаже авиабилетов. Но зачем ограничиваться лишь небом? Мы и по рельсам можем. Фейковых сайтов по продаже железнодорожных билетов ничуть не меньше, Причем зачастую они даже особо не отличаются от своих небесных собратьев.

В большинстве своем фейковые сайты базируются на паре-тройке стандартных шаблонов. На картинке выше вы можете поискать десять отличий между сайтом avia-scidkes.site и poezdonline.site. Оба они являются яркими представителями своего вида.

Телефон, указанный на «железнодорожном сайте» фигурирует в сети в привязке сразу к нескольким давно почившим сайтам по продаже авиабилетов. Ну и естественно вы не найдете на нем ни политики обработки персональных данных, ни какой-либо информации о юр. лице.

Путешествуйте проверенными способами!
@In4security Открыть/Комментировать

2021-04-03 18:17:06 СМИ пестрят заголовками о том как очередной TikTok-блогер заработал свои миллионы. Но где деньги, там и различные проходимцы, желающие засунуть руку в чужой карман. Так что нет ничего удивительного в том, что в сентябре прошлого года в Telegram появились предложения приобрести готовый фишинг-тулкит под TikTok.
 
Возможности тулкита весьма неплохи. В частности, он привлекает высокой степенью автоматизации за счет использования ботов, хорошей поддержкой, простотой использования и возможностью обхода двухфакторной аутентификации. В общем, мамкины хакеры одобряют.
 
Естественно, по мере роста популярности тулкита стало расти и число фишинговых сайтов, созданных в рамках данной схемы. TikTok в этой ситуации проявил себя совершенно индифферентно, так что мы решили позаботиться о видеоблогерах и взять инициативу в свои руки и поиграть в своеобразный «морской бой», тем более что опыта в этом деле нам не занимать.
 
Первый ход: 30 марта обнаружен свежий фишинговый сайт tiktok-partners.com.
 
Второй ход: 2 апреля фишинговый сайт tiktok-partners.com убит.
 
По правилам морского боя после удачного попадания следует сделать еще один ход.
@In4security Открыть/Комментировать

2021-03-29 18:53:11 Фейковые сайты по продаже авиабилетов – это просто бич современного интернета. С начала марта мы зафиксировали появление более 700 доменов, используемых для адресации фишинговых сайтов такого рода.

Только лишь доменов с частицей «avia-» мы насчитали 87 штук, на 23 из которых на момент написания данной публикации висят действующие фишинговые сайты.

На картинке приведены лендинги двух самых популярных в марте шаблонов фейковых сайтов по продаже авиабилетов.
@In4security Открыть/Комментировать

2021-03-29 18:52:37 Если вам предлагают приобрести авиабилеты онлайн и просят заполнить подобную форму при полном отсутствии даже намека на согласие на обработку персональных данных, бегите с такого сайта. Если согласие все-таки есть, но в нем вместо названия компании фигурирует адрес сайта, также воспользуйтесь предыдущим советом. Это далеко не исчерпывающие признаки (даже если с согласием все ок, сайт все-равно может быть вредоносным), но при его отсутствии смело закрывайте вкладку браузера и идите в другое место.

Если же более детально рассмотреть данный конкретный ресурс (avia-ploletis[.]ru), то можно найти и иные признаки фишинга: хостинг скрыт за CloudFlare, цены на билеты ниже, чем на других подобных сайтах, в качестве контактов указан телефон сервиса Biletix и емейл на домене фишингового сайта, сведения о компании отсутствуют (указано ничего не значащее Easy Travel LLC), а при вводе данных пассажира, вы сразу же попадаете на стандартную платежную форму для ввода данных банковской карты.
@In4security Открыть/Комментировать

2021-03-29 16:11:10 Qiwi-service.ru - новый фейковый сайт, имитирующий сервис «Безопасная сделка» от Qiwi. Описание того, как это работает, в целом верное, стоит лишь исправить пункт 5 на: «Исполнитель в итоге ничего не получает».

Сайт не блещет функционалом, его создатели поленились даже приобрести SSL сертификат. Безопасная сделка по http, так сказать… Отсутствует и личный кабинет – можно лишь оставить заявку на подключение, передав свои данные злоумышленникам.

Фейковые сервисы безопасных сделок уже не в первый раз попадают в поле нашего зрения. Например, в мае 2019 года мы находили весьма грамотно сделанную фейковую страницу аналогичного сервиса от Сбербанка, которая появилась буквально через 3 дня после запуска услуги.

Несмотря на то, что схема не новая, подобного рода сайты появляются достаточно редко. Особенно в сравнении с классическим банковским фишингом.
@In4security Открыть/Комментировать

2021-03-25 13:54:10 После регистрации на одном из сайтов, мы попадаем на страницу, даже беглый взгляд на которую все проясняет. Для того, чтобы получить доступ к магазину по продаже дампов, требуется внести депозит в размере 50 долларов на bitcoin-кошелек. Особенно радует при этом отсутствие SSL-сертификата и замечательные ошибки в тексте типа слова Accaunt…

В общем, отличное предложение для «мамкиных кардеров», прокачавшихся на обмане посетителей «Авито» и решивших инвестировать свои средства в «серьезный бизнес». Никаких гарантов, никакой системы репутации, просто перечисляй деньги и жди, когда тебе откроют доступ к несуществующему маркетплейсу.

К слову, мы нисколько не удивимся, если кто-то из обманутых школьников после этого захочет обратиться в полицию, мол, деньги отправил, а дампы карт не получил. С такими историями мы сталкивались неоднократно.
@In4security Открыть/Комментировать

2021-03-25 13:53:26 23 марта в .RU зоне появилось ровно 23 домена со словом CVV. Символично, не правда ли? Давайте посмотрим, для чего они используются.

Большая часть из них сформирована путем комбинирования в различных сочетаниях слов shop, store, valid и dump, что уже весьма конкретно нам намекает на тематику сайтов. Если помониторить эти слова в отрыве от CVV, можно найти еще два-три десятка доменов, таким образом, общее количество задействованных в схеме доменных имен составляет примерно 50.

Все сайты похожи как две капли воды, отличаясь лишь заголовком, каждый из которых заявляет о том, что данный сайт - это самое лучшее место для того, чтобы приобрести дампы банковских карт. Можно было бы написать: «Сенсация! В рунете продают данные миллионов банковских карт…»

Однако в реальности все куда прозаичнее.
@In4security Открыть/Комментировать

2021-03-20 22:48:01 Такая сложная схема, в цепочке которой задействовано аж 3 домена позволяет весьма эффективно скрываться от обнаружения. Фишинговые сайты запускаются всего на несколько часов, после чего ссылки на них меняются.

Однако, при наличии хорошей системы мониторинга и аналитики данные схемы раскалываются «на ура». Уж мы на этом точно собаку съели!
@In4security Открыть/Комментировать