ЧВК "Валерон"
Обычно создателей фишинговых ресурсов достаточно сложно идентифицировать методами OSINT, поэтому основным методом борьбы с фишингом является блокирование фишинговых сайтов. Это крайне важная работа, но по сути она являет собой борьбу со следствием, а не с причиной.
Но сложно - не значит невозможно. И сегодняшний пример посвящен тому, как всего лишь одна ошибка позволила нам связать 60 фейковых ресурсов с молодым разработчиком-анимешником из города Чебоксары: https://telegra.ph/Valeron-03-04.
Обычно создателей фишинговых ресурсов достаточно сложно идентифицировать методами OSINT, поэтому основным методом борьбы с фишингом является блокирование фишинговых сайтов. Это крайне важная работа, но по сути она являет собой борьбу со следствием, а не с причиной.
Но сложно - не значит невозможно. И сегодняшний пример посвящен тому, как всего лишь одна ошибка позволила нам связать 60 фейковых ресурсов с молодым разработчиком-анимешником из города Чебоксары: https://telegra.ph/Valeron-03-04.
Telegraph
ЧВК "Валерон"
В последнее время значительно активизировались злоумышленники, создающие сайты с фейковыми акциями от различных банков и других компаний. Самой популярной схемой является схема с опросами. Потенциальной жертве задают от 5-10 элементарных вопросов о качестве…
На популярном теневом форуме выставлен на продажу массив данных, которые, согласно описанию, принадлежат тайваньской компании Acer.
Продаваемый архив объемом 160 гигабайт содержит огромное количество внутренней информации, в том числе:
- конфиденциальные документы, включая внутренние руководства и презентации, сведения о продукции;
- сведения об инфраструктуре;
- сменные цифровые ключи продуктов (RDPK)
- образы Windows (SDI) и прочего софта;
- технические данные BIOS, ПЗУ и масса других файлов.
Актуальность утечки оценивается серединой февраля.
Подобный архив интересен далеко не каждому, но он может стать отличным приобретением как для конкурентов, так и для тех, кто специализируется на взломе и перепрошивке аппаратных устройств. Так что, если у вас планшет Acer, скоро сможете ожидать волну кастомизированных прошивок.
Продаваемый архив объемом 160 гигабайт содержит огромное количество внутренней информации, в том числе:
- конфиденциальные документы, включая внутренние руководства и презентации, сведения о продукции;
- сведения об инфраструктуре;
- сменные цифровые ключи продуктов (RDPK)
- образы Windows (SDI) и прочего софта;
- технические данные BIOS, ПЗУ и масса других файлов.
Актуальность утечки оценивается серединой февраля.
Подобный архив интересен далеко не каждому, но он может стать отличным приобретением как для конкурентов, так и для тех, кто специализируется на взломе и перепрошивке аппаратных устройств. Так что, если у вас планшет Acer, скоро сможете ожидать волну кастомизированных прошивок.
Не успел затихнуть шум вокруг Сберлогистики, как в сети появился архив, предположительно имеющий отношение к порталу «Сбер право».
Архив sberpravo.zip содержит 3 файла: user, user2 и userphone.Дата создания всех трех файлов одинакова – 8 февраля 2023 года, то есть практически ровно месяц назад.
Файл user состоит из 120 901 строки.
Из значимых данных в нем можно выделить ФИО, телефон и адрес электронной почты.
Уникальных телефонов: 152 900
Уникальных адресов электронной почты: 70 155
Среди адресов электронной почты присутствует довольно много учеток в домене sberbank.ru, самыми популярными словами в электронных адресах являются по удивительному совпадению слова lawyer и advokat.
Несмотря на то, что размер второго файла в разы превышает размер первого, user2 содержит меньшее количество информации - 119496 строк.
Помимо ФИО в базе представлены опять же адреса электронной почты, наименования юридических лиц, даты рождения и регистрации пользователей.
Самая поздняя дата – 8 февраля 2023 года, что совпадает с датой создания файлов.
Файл Userphone содержит 15360 строк, состоящих исключительно из телефонов в связке с идентификаторами пользователей.
Архив sberpravo.zip содержит 3 файла: user, user2 и userphone.Дата создания всех трех файлов одинакова – 8 февраля 2023 года, то есть практически ровно месяц назад.
Файл user состоит из 120 901 строки.
Из значимых данных в нем можно выделить ФИО, телефон и адрес электронной почты.
Уникальных телефонов: 152 900
Уникальных адресов электронной почты: 70 155
Среди адресов электронной почты присутствует довольно много учеток в домене sberbank.ru, самыми популярными словами в электронных адресах являются по удивительному совпадению слова lawyer и advokat.
Несмотря на то, что размер второго файла в разы превышает размер первого, user2 содержит меньшее количество информации - 119496 строк.
Помимо ФИО в базе представлены опять же адреса электронной почты, наименования юридических лиц, даты рождения и регистрации пользователей.
Самая поздняя дата – 8 февраля 2023 года, что совпадает с датой создания файлов.
Файл Userphone содержит 15360 строк, состоящих исключительно из телефонов в связке с идентификаторами пользователей.
В сеть выложили архив с базой клиентов предположительно сети бургерных «Фарш».
Файл содержит 14 210 строк, включающих: имя, электронную почту (10 814 уникальных ящиков), телефон (11 424 уникальных), адрес, сведения о браузере и прочую служебную информацию.
Анализ базы показывает, что упоминаемые в ней бургеры соответствуют тем, что представлены в меню принадлежащей Новикову сети, а сама база скорее всего является не списком клиентов, а базой отзывов о качестве обслуживания. Файл охватывает период с 28 августа 2018 по 7 марта 2023 года.
Файл содержит 14 210 строк, включающих: имя, электронную почту (10 814 уникальных ящиков), телефон (11 424 уникальных), адрес, сведения о браузере и прочую служебную информацию.
Анализ базы показывает, что упоминаемые в ней бургеры соответствуют тем, что представлены в меню принадлежащей Новикову сети, а сама база скорее всего является не списком клиентов, а базой отзывов о качестве обслуживания. Файл охватывает период с 28 августа 2018 по 7 марта 2023 года.
Сегодня на одном из даркнет-форумов были размещены два архива, предположительно имеющие отношение к Высшей школе экономики.
Архивы содержат сканы паспортов и персональные данные выпускников и сотрудников, списки сотрудников, имеющих отсрочку от мобилизации, досье абитуриентов магистратуры, логины и пароли для доступа к СЭД и другим внутренним сервисам, а также значительный объем иной информации.
Актуальность данных – март 2023 года. Автор публикации намекает на то, что может последовать продолжение, что неудивительно, так как уже опубликованные сведения содержат огромное количество информации, которая может быть использована для атак на инфраструктуру ВУЗа.
Архивы содержат сканы паспортов и персональные данные выпускников и сотрудников, списки сотрудников, имеющих отсрочку от мобилизации, досье абитуриентов магистратуры, логины и пароли для доступа к СЭД и другим внутренним сервисам, а также значительный объем иной информации.
Актуальность данных – март 2023 года. Автор публикации намекает на то, что может последовать продолжение, что неудивительно, так как уже опубликованные сведения содержат огромное количество информации, которая может быть использована для атак на инфраструктуру ВУЗа.
Хакеры, несколько дней назад выложившие в даркнете данные компании Acer, опубликовали массив данных, предположительно имеющих отношение к компании «Акронис».
Утечка содержит:
- различные файлы сертификатов
- различные журналы команд
- системные конфигурации
- журналы системной информации
- архивы их файловой системы
- скрипты python для их базы данных maria.db
- конфигурация резервного копирования
- множество снапшотов операций резервного копирования
Если утечка является подлинной, то это может нести как угрозы для безопасности, так и репутационные риски, ведь «Акронис» - это в первую очередь компания, специализирующаяся на разработке ИБ-продуктов.
Утечка содержит:
- различные файлы сертификатов
- различные журналы команд
- системные конфигурации
- журналы системной информации
- архивы их файловой системы
- скрипты python для их базы данных maria.db
- конфигурация резервного копирования
- множество снапшотов операций резервного копирования
Если утечка является подлинной, то это может нести как угрозы для безопасности, так и репутационные риски, ведь «Акронис» - это в первую очередь компания, специализирующаяся на разработке ИБ-продуктов.
Недавно мы писали про утечки, предположительно связанные с сервисом «Сберлогистика» и порталом «Сберправо», а сегодня в сеть выложили архив с говорящим названием Sberspasibo.zip_.
Архив содержит 2 файла. Первый файл – Orders имеет размер 820 мегабайт и включает 6 335 994 строки, содержащие номера телефонов, адреса электронной почты, даты рождения, даты регистрации, хэши карт и прочую служебную информацию.
Анализ файла позволил выделить:
1 089 420 уникальных адресов электронной почты
1 448 281 уникальный телефонный номер
Файл охватывает период с 01.04.2017 по 07.02.2022.
Размер второго файла – Users составляет почти 13 гигабайт. В нем содержится 48 387 008 строк.
132 749 уникальных адресов электронной почты
Более 47 миллионов уникальных номеров телефонов.
По состоянию на 14.00 архив успели скачать уже более 350 раз.
Архив содержит 2 файла. Первый файл – Orders имеет размер 820 мегабайт и включает 6 335 994 строки, содержащие номера телефонов, адреса электронной почты, даты рождения, даты регистрации, хэши карт и прочую служебную информацию.
Анализ файла позволил выделить:
1 089 420 уникальных адресов электронной почты
1 448 281 уникальный телефонный номер
Файл охватывает период с 01.04.2017 по 07.02.2022.
Размер второго файла – Users составляет почти 13 гигабайт. В нем содержится 48 387 008 строк.
132 749 уникальных адресов электронной почты
Более 47 миллионов уникальных номеров телефонов.
По состоянию на 14.00 архив успели скачать уже более 350 раз.
На одном из теневых форумов была размещена база, предположительно имеющая отношение к оператору телефонии для бизнеса «Авантелеком (https://avantelecom.ru/). Актуальность базы – 15 марта 2023 года.
База интересна тем, что в отличие от большинства инцидентов, о которых мы обычно пишем, она не содержит персональных данных или паролей – лишь телефоны и… текстовые расшифровки разговоров с клиентами в количестве 33 тысяч штук. Характер разговоров позволяет предположить, что это звонки в техподдержку.
Тайна связи, говорите?
База интересна тем, что в отличие от большинства инцидентов, о которых мы обычно пишем, она не содержит персональных данных или паролей – лишь телефоны и… текстовые расшифровки разговоров с клиентами в количестве 33 тысяч штук. Характер разговоров позволяет предположить, что это звонки в техподдержку.
Тайна связи, говорите?
В современном мире скама все максимально автоматизировано. Это касается и мошенничеств на торговых площадках, и многих видов фишинга, равно как и других вредоносных активностей. Автоматизация делает осуществление атак проще и значительно снижает требования к квалификации атакующего.
Перед вами пример фрод-комбайна Fraudopedia, развернутого на российском домене fraudopedia.ru. OTP-боты предназначены для кражи одноразовых кодов (паролей) доступа в рамках двухфакторной аутентификации. Доступ к подобным инструментам как правило осуществляется по подписке.
Владелец домена – весьма активный человек. Среди его ресурсов встречаются:
https://fpedia.ru/login - еще одна Fraudopedia
https://avito-sms.ru/ - обход двухфакторки на Авито
https://pleaks.ru/index.php - польскоязычный форум об утечках
https://bunkr.su/ - файловый сервер для хранения утечек.
А также онлайн хранилище для вредоносного п/о, криптер троянов, сайт с форекс-ботами, онлайн-кинотеатр, фейковый ресурс польской службы доставки, домены, заточенные под фишинг от лица европейских банков и многое другое.
Несмотря на то, что человек явно ориентирован на работу по Европе и скорее всего имеет польские корни, располагается все это добро на российских доменах, причем не только .RU, но и .SU, что вообще редкость. В текущих условиях заблокировать такие домены европейским компаниям будет сложнее, чем обычно, а если припечет, то всегда можно сослаться на русских хакеров.
Перед вами пример фрод-комбайна Fraudopedia, развернутого на российском домене fraudopedia.ru. OTP-боты предназначены для кражи одноразовых кодов (паролей) доступа в рамках двухфакторной аутентификации. Доступ к подобным инструментам как правило осуществляется по подписке.
Владелец домена – весьма активный человек. Среди его ресурсов встречаются:
https://fpedia.ru/login - еще одна Fraudopedia
https://avito-sms.ru/ - обход двухфакторки на Авито
https://pleaks.ru/index.php - польскоязычный форум об утечках
https://bunkr.su/ - файловый сервер для хранения утечек.
А также онлайн хранилище для вредоносного п/о, криптер троянов, сайт с форекс-ботами, онлайн-кинотеатр, фейковый ресурс польской службы доставки, домены, заточенные под фишинг от лица европейских банков и многое другое.
Несмотря на то, что человек явно ориентирован на работу по Европе и скорее всего имеет польские корни, располагается все это добро на российских доменах, причем не только .RU, но и .SU, что вообще редкость. В текущих условиях заблокировать такие домены европейским компаниям будет сложнее, чем обычно, а если припечет, то всегда можно сослаться на русских хакеров.
Волна взломов Telegram-аккаунтов продолжается уже полгода. И если сама схема принципиально не меняется, как и шаблон, то вот легенда, использования для заманивания на фишинговый сайт, претерпевает изменения.
Если в последние месяцы в тренде были голосования, то теперь мошенники перешли к петициям. На скриншоте вы можете видеть пример фишингового сайта petitiongram.ru, на котором предлагается подписать петицию о запрете добычи нефти на Аляске. Сейчас эта тема весьма актуальна, существует соответствующая петиция на change.org, а посты с просьбой подписать её активно разгоняются в VK и на других площадках, так что найти потенциальную жертву, озабоченную вопросами экологии, будет не сложно.
Обратите внимание, что фраза про петицию написана человеком, весьма своеобразно владеющим русским языком. Впрочем, это не мешает ему активно скамить русскоязычное население. В его копилке имеются фишинговые проекты под Avito, Discord, Steam, МВидео, VK, Мособлэнерго, Yandex, кредитные организации, а также фейковые криптовалютные проекты и сайты театров. Общее количество принадлежащих владельцу доменов составляет 2,5 тысячи – явная заявка на рекорд.
Если в последние месяцы в тренде были голосования, то теперь мошенники перешли к петициям. На скриншоте вы можете видеть пример фишингового сайта petitiongram.ru, на котором предлагается подписать петицию о запрете добычи нефти на Аляске. Сейчас эта тема весьма актуальна, существует соответствующая петиция на change.org, а посты с просьбой подписать её активно разгоняются в VK и на других площадках, так что найти потенциальную жертву, озабоченную вопросами экологии, будет не сложно.
Обратите внимание, что фраза про петицию написана человеком, весьма своеобразно владеющим русским языком. Впрочем, это не мешает ему активно скамить русскоязычное население. В его копилке имеются фишинговые проекты под Avito, Discord, Steam, МВидео, VK, Мособлэнерго, Yandex, кредитные организации, а также фейковые криптовалютные проекты и сайты театров. Общее количество принадлежащих владельцу доменов составляет 2,5 тысячи – явная заявка на рекорд.
Злоумышленники часто используют образ медийных персон для вовлечения людей в различные авантюры. Больше всех достается Илону нашему Маску, периодически мелькает Дуров, но и Герман Греф не отстает в популярности. Фейковые профили Германа Оскаровича в соцсетях появляются буквально еженедельно, а вчера в сети появилось целых три сайта, предлагающих обучение по программе «Инвестиции для начинающих» от главы Сбера:
http://герман-греф.рф/
http://школа-грефа.рф/
http://обучение-грефа.рф/
Сайты выполнены на привычном шаблоне для ресурсов фейковых инвестиционных программ, сверстанном в Tilda, а политика обработки персональных данных настолько плоха, что не годится даже для палатки по продаже шаурмы, телефон и адрес позаимствованы у «Школы 21» (https://21-school.ru/) – бесплатной школы программирования от Сбера, не имеющей ни малейшего отношения к тематике инвестиций.
В современных реалиях отслеживание случаев использования образа публичных личностей и топ-менеджмента крупных компаний – это не прихоть, а насущная необходимость, ведь подобная кража личности может повлечь последствия зачастую даже более серьезные, чем злоупотребление брендом компании.
http://герман-греф.рф/
http://школа-грефа.рф/
http://обучение-грефа.рф/
Сайты выполнены на привычном шаблоне для ресурсов фейковых инвестиционных программ, сверстанном в Tilda, а политика обработки персональных данных настолько плоха, что не годится даже для палатки по продаже шаурмы, телефон и адрес позаимствованы у «Школы 21» (https://21-school.ru/) – бесплатной школы программирования от Сбера, не имеющей ни малейшего отношения к тематике инвестиций.
В современных реалиях отслеживание случаев использования образа публичных личностей и топ-менеджмента крупных компаний – это не прихоть, а насущная необходимость, ведь подобная кража личности может повлечь последствия зачастую даже более серьезные, чем злоупотребление брендом компании.
Сегодня у нас день Сбера. В сеть выложили второй файл, предположительно имеющий отношение к бонусной программе «СберСпасибо».
Структура нового файла совпадает с предыдущим. В нем так же содержатся номера телефонов, даты рождения, регистрации в сервисе и последнего входа, а также хэшированные номера карт.
Файл содержит: 4 541 015 строк.
Уникальных номеров телефонов: 4 532 480.
Актуальность базы – 22 января 2023 года. Последняя дата имеет временную отметку 22 часа 03 минуты.
Структура нового файла совпадает с предыдущим. В нем так же содержатся номера телефонов, даты рождения, регистрации в сервисе и последнего входа, а также хэшированные номера карт.
Файл содержит: 4 541 015 строк.
Уникальных номеров телефонов: 4 532 480.
Актуальность базы – 22 января 2023 года. Последняя дата имеет временную отметку 22 часа 03 минуты.