Очередной пример прикладного инструмента телефонных мошенников. Сайт vtb-62967.ru служит для того, чтобы внедрить на Android-смартфон жертвы RAT-троян, а если точнее – слегка видоизмененную программу для удаленного администрирования, которая в дальнейшем поможет злодеям перехватить управление над телефоном со всеми вытекающими последствиями. Вот здесь вы можете послушать запись диалога с мошенником, в котором он как раз предлагает установить «приложение технической поддержки», правда другого банка.
Владелец домена упорно создает фейковые ресурсы под ВТБ. В его копилке их уже более 20. Также пару раз встречаются домены, заточенные под другие банки, и домены формата id-*****.ru, используемые в схемах обмана на маркетплейсах и смежных сценариях.
Отправляем сайт на блокировку и желаем вам хорошей пятницы!
UPD: Ресурс заблокирован за 3 часа!
Владелец домена упорно создает фейковые ресурсы под ВТБ. В его копилке их уже более 20. Также пару раз встречаются домены, заточенные под другие банки, и домены формата id-*****.ru, используемые в схемах обмана на маркетплейсах и смежных сценариях.
Отправляем сайт на блокировку и желаем вам хорошей пятницы!
UPD: Ресурс заблокирован за 3 часа!
👍41🤡4🤔2❤1
Сезонные мошенники
Отдельная категория мошенников, которые создают фишинговые сайты под какие-то сезонные события, а что может более сезонное, чем замена летних шин.
В качестве примера выступит созданный неделю назад сайт tires-by-ozon.ru, где для большей привлекательности используют популярные сейчас слова - Озон, Шины, бесплатная доставка по России.
На что стоит обратить внимание:
1 - отсутствие самовывоза
2 - контакты в виде мобильного телефона и почты на @proton.me
3 - принуждение клиента к оплате с карты Озон и ВТБ (видимо уже есть подготовленные фейковые платежные системы - на что намекает и условия предоплаты "только через площадку Озон")
4 - ну и для понимания локализации группировки - стоит посмотреть описание, которое с небольшими изменениями скопировано с Киевского сайта https://rezina.ua/o-nas/
Отдельная категория мошенников, которые создают фишинговые сайты под какие-то сезонные события, а что может более сезонное, чем замена летних шин.
В качестве примера выступит созданный неделю назад сайт tires-by-ozon.ru, где для большей привлекательности используют популярные сейчас слова - Озон, Шины, бесплатная доставка по России.
На что стоит обратить внимание:
1 - отсутствие самовывоза
2 - контакты в виде мобильного телефона и почты на @proton.me
3 - принуждение клиента к оплате с карты Озон и ВТБ (видимо уже есть подготовленные фейковые платежные системы - на что намекает и условия предоплаты "только через площадку Озон")
4 - ну и для понимания локализации группировки - стоит посмотреть описание, которое с небольшими изменениями скопировано с Киевского сайта https://rezina.ua/o-nas/
🔥15👍4🤡3❤1
Отличный свежий пример кражи доступов в ЛК сразу четырех банков. Сайты-близнецы https://info-sber24.ru/ и https://tvou-credctva-online.ru/ предлагают скромный бонус в размере 3000 рублей, для получения которого нужно ввести ФИО, номер телефона, номер карты, а потом и код из СМС.
Классическая схема: данные улетают в Telegram-бот и передаются биороботу, который пытается сбросить пароль для доступа в личный кабинет, а потом, если повезет, привязать к ЛК новый номер.
Сайты работают в связке с другими ресурсами или фишинговыми письмами, через которые производится первичная обработка жертвы. Зачем создавать отдельные сайты под разные банки, если можно на домене со словом SBER поднять фишинговые формы сразу под 4 банка!
Мы уже не раз писали о том, что в банковском фишинге сейчас наблюдается тенденция к отходу от кражи фиксированной суммы через интернет-эквайринг. В последние полтора-два года акцент сместился именно на кражу доступа к ЛК, что куда более опасно для пользователей. А простые социотехнические приемы и использование болванчиков-биороботов, которые мнят себя ассами криминального мира, позволяет обойти даже двухфакторку. В общем, киберпанк, который мы заслужили.
Сайты отправлены на блокировку… и благополучно заблокированы!
Классическая схема: данные улетают в Telegram-бот и передаются биороботу, который пытается сбросить пароль для доступа в личный кабинет, а потом, если повезет, привязать к ЛК новый номер.
Сайты работают в связке с другими ресурсами или фишинговыми письмами, через которые производится первичная обработка жертвы. Зачем создавать отдельные сайты под разные банки, если можно на домене со словом SBER поднять фишинговые формы сразу под 4 банка!
Мы уже не раз писали о том, что в банковском фишинге сейчас наблюдается тенденция к отходу от кражи фиксированной суммы через интернет-эквайринг. В последние полтора-два года акцент сместился именно на кражу доступа к ЛК, что куда более опасно для пользователей. А простые социотехнические приемы и использование болванчиков-биороботов, которые мнят себя ассами криминального мира, позволяет обойти даже двухфакторку. В общем, киберпанк, который мы заслужили.
Сайты отправлены на блокировку… и благополучно заблокированы!
👍36❤11😁3🤡2
В свежей пачке доменов в зоне .РФ обнаружился вот такой любопытный ресурс: «бабушка-ясновидящая24.рф». Бабушка Ефросинья отличается высокой продуктивностью (помогла более 50 тысячам людей) и нежеланием светить свои контакты – связаться с ней напрямую невозможно, можно лишь использовать форму обратной связи или заполнить анкету, в которой требуется изложить суть проблемы и оставить свои персональные данные.
Но есть у бабушки Ефросиньи свой маленький секрет… она еще и дедушка. Если взять строку из отзыва с сайта бабушки и вставить ее в поисковик, обнаруживается принадлежащий тому же владельцу сайт-двойник «маг-ясновидящий.рф», в заголовке которого написано: «Эрнест – потомственный ясновидящий, экстрасенс».
Магия, да и только!
Но есть у бабушки Ефросиньи свой маленький секрет… она еще и дедушка. Если взять строку из отзыва с сайта бабушки и вставить ее в поисковик, обнаруживается принадлежащий тому же владельцу сайт-двойник «маг-ясновидящий.рф», в заголовке которого написано: «Эрнест – потомственный ясновидящий, экстрасенс».
Магия, да и только!
😁69🤡14🦄7👍4👀2
Timeweb удваивает выплаты за найденные баги
Пока на улице стремительно холодает, багхантеры заваривают чашечку любимого чая или кофе и сурово идут искать уязвимости на BI.ZONE Bug Bounty.
И не просто так, а потому что с 23 ноября по 24 декабря Timeweb удваивает выплаты. Их можно получить за находку уровня high и critical в любых продуктах компании, которые доступны для исследования.
Максимальное вознаграждение — 500 000 рублей.
Успейте сдать отчет и получить двойное баунти!
Пока на улице стремительно холодает, багхантеры заваривают чашечку любимого чая или кофе и сурово идут искать уязвимости на BI.ZONE Bug Bounty.
И не просто так, а потому что с 23 ноября по 24 декабря Timeweb удваивает выплаты. Их можно получить за находку уровня high и critical в любых продуктах компании, которые доступны для исследования.
Максимальное вознаграждение — 500 000 рублей.
Успейте сдать отчет и получить двойное баунти!
👍6🤡3🔥1
Forwarded from CyberSquatting RU Alerts
А вот и практическое применение доменов для угона аккаунтов телеграм. Хочу обратить внимание на собачку в имени хоста, достаточно новая фишечка. Видимо, те же ребята, что и в этом посте. Ну и бонусом еще немного их доменов:
cancel-action[.ru
cancel-action[.online
action-confirm[.ru
action-confirm[.site
action-cancel[.ru
export-cancel[.ru
confirm-action[.ru
За картинку спасибо Политджойстик
cancel-action[.ru
cancel-action[.online
action-confirm[.ru
action-confirm[.site
action-cancel[.ru
export-cancel[.ru
confirm-action[.ru
За картинку спасибо Политджойстик
👍26🤡8✍1🔥1🫡1
Мошенники с маркетплейсов стали использовать Систему быстрых платежей для кражи денег у желающих купить новогодние подарки со скидкой
Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы!
В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества.
Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара.
Во-вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо?
Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги.
В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".
UPD: Наши внимательные читатели заметили, что номер 324300102361 из описания поразительным образом совпадает с ИНН одного зарегистрированного всего полтора месяца назад ИП, основной вид деятельности которого: "Консультативная деятельность и работы в области компьютерных технологий".
Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы!
В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества.
Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара.
Во-вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо?
Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги.
В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".
UPD: Наши внимательные читатели заметили, что номер 324300102361 из описания поразительным образом совпадает с ИНН одного зарегистрированного всего полтора месяца назад ИП, основной вид деятельности которого: "Консультативная деятельность и работы в области компьютерных технологий".
👏18👍12🔥2❤1