in2security

Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу.

Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.

Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.

Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.

Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.

Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!

Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки.

Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.

Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.

Сегодня мы обнаружили 4 новых фишинговых сайта, эксплуатирующих бренд волонтерского движения «Мы вместе»:
http://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/

Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.

Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.

Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.

После недолгого изучения ресурсы были отправлены на блокировку.

UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/

Сегодня очередной жертвой утечки данных, по утверждению хакеров, стал модный маркетплейс-VK-коммунити themarket.io
Несмотря на лозунг "безопасная сделка для защищенной покупки" забота о самих пользователях оказалась не на высоте со стороны пермских иДНивидуальных предпринимателей Марины и Миши. Во всяком случае хакеры утверждают именно это и прикладывают БД с заказами (73 814 шт.), БД пользователей (259 958 шт.) и БД с данными о оплате (74 850 шт.). Актуальность 01.06.2017-06.06.2023. Вместе с историей покупок утекли и более критические данные - ФИО, контакты, адреса доставки, первые и последние цифры банковских карт.