Квинтэссенция фишингового многостаночника: домен blablacar, в заголовке и футере – NordVPN – контент – Telegram Premium.
Как и в случае с проверкой на призыв «приятным» бонусом будет еще и деанон пользователя Telegram и администратора канала. Впрочем, возможно, это и является главной целью сайта. Фишинговая форма логина осталась в наследство от схемы с NordVPN, так что возможно кто-то просто внедрил в готовый шаблон дополнительную форму сбора персональных данных.
Как и в случае с проверкой на призыв «приятным» бонусом будет еще и деанон пользователя Telegram и администратора канала. Впрочем, возможно, это и является главной целью сайта. Фишинговая форма логина осталась в наследство от схемы с NordVPN, так что возможно кто-то просто внедрил в готовый шаблон дополнительную форму сбора персональных данных.
👍12👏1😁1
Сейчас в ходу такие услуги, о которых еще недавно никто бы и не подумал. Так, в Telegram активно распространяются предложения за деньги проверить, есть ли человек в списках на мобилизацию, или и вовсе удалить его из мифической базы на госуслугах. Попробуем разобраться, как работают такие объявления, и кто стоит за ними, в нашей новой статье: https://telegra.ph/Vestochki-povestochki-10-04
Telegraph
Весточки-повесточки
Первый пример нам любезно подкинул канал "Проверка на повестку и службу". Количество подписчиков у него не достигает даже 900, а единственная цель заключается в том, чтобы отправлять желающих провериться к "менеджеру". Менеджер Алексей отвечает довольно быстро…
👍30😁12❤5👎2🤩2🔥1🤬1
Водил меня Серёга на выставку Ван Гога…
Что-то неделя не слишком богата на события. Придется пройтись по старым темам. Вот, например, дейтинг-скам. Мы неоднократно рассказывали о фейковых сайтах театров и кинотеатров. Но ведь есть еще и выставки! Так что, если ваша подруга из Tinder-а надела лабутены и зовет вас на выставку Ван Гога, чью картину «Подсолнухи» сегодня облили томатным супом, не доверяйте ей, обманет, не моргнув глазом.
Сайт https://vistavka-monreo.ru – отличается от прочих вариантов скама лишь контекстом. Зато тут есть выставки на любой вкус, хоть Ван Гог, хоть проектирование будущего. Ну а если вы не верите в то, что это фейк, обратите внимание на еще один домен владельца этого сайта: https://3ds-merchew.ru. Он предназначен для формирования фейковых платежных форм для возврата денег, чтобы обмануть незадачливого Ромео еще раз.
Что-то неделя не слишком богата на события. Придется пройтись по старым темам. Вот, например, дейтинг-скам. Мы неоднократно рассказывали о фейковых сайтах театров и кинотеатров. Но ведь есть еще и выставки! Так что, если ваша подруга из Tinder-а надела лабутены и зовет вас на выставку Ван Гога, чью картину «Подсолнухи» сегодня облили томатным супом, не доверяйте ей, обманет, не моргнув глазом.
Сайт https://vistavka-monreo.ru – отличается от прочих вариантов скама лишь контекстом. Зато тут есть выставки на любой вкус, хоть Ван Гог, хоть проектирование будущего. Ну а если вы не верите в то, что это фейк, обратите внимание на еще один домен владельца этого сайта: https://3ds-merchew.ru. Он предназначен для формирования фейковых платежных форм для возврата денег, чтобы обмануть незадачливого Ромео еще раз.
😁8👍5🌚1🏆1
Мошенники любят ссылаться на несуществующие нормативные документы. Еще бы, ведь с их помощью можно водить за нос доверчивых людей куда эффективнее. Разве поспоришь, например, с Указом Президента, тем более если речь в нем идет о социальных выплатах?
Перед вами яркий представитель такого явления. Сайт http://www.kremlln.ru, выдающий себя за официальный ресурс Президента, создан с одной лишь целью: для публикации фейкового указа. Создатели сайта не поленились даже сделать PDF с соответствующим текстом. В целом фейковая страница выглядит вполне достоверно, что неудивительно, ведь она полностью скопирована с официального сайта Кремля. Но, как всегда, дьявол кроется в деталях.
Номер фейкового указа – 146-РП, а такой номер может быть только у Распоряжения Президента, но никак не у указа. В общем, за копирование 5, а за делопроизводство – 2!
Перед вами яркий представитель такого явления. Сайт http://www.kremlln.ru, выдающий себя за официальный ресурс Президента, создан с одной лишь целью: для публикации фейкового указа. Создатели сайта не поленились даже сделать PDF с соответствующим текстом. В целом фейковая страница выглядит вполне достоверно, что неудивительно, ведь она полностью скопирована с официального сайта Кремля. Но, как всегда, дьявол кроется в деталях.
Номер фейкового указа – 146-РП, а такой номер может быть только у Распоряжения Президента, но никак не у указа. В общем, за копирование 5, а за делопроизводство – 2!
😁33👍7🤡4🤬3
На популярном даркнет-форуме появилось сообщение о взломе Битрикс24. Согласно размещенным злоумышленниками сведениям, в их руки попало примерно 20 гигабайт информации, включая базы данных и скрипты. Стоит отметить, что за взломом стоят те же люди, что до этого выкладывали базы пользователей Портала Госуслуг.
Выставленная на продажу база содержит 4 миллиона строк и охватывает период с 2014 по 2022 годы. Размещенный семпл содержит ссылки на ресурсы, использующие данную CRM, адреса электронной почты и хэши паролей. Стоимость выставленных на продажу сведений публично не оглашается.
Даже если в итоге окажется, что база неактуальна, мы бы настоятельно рекомендовали всем пользователям Битрикс24 поменять пароли.
Выставленная на продажу база содержит 4 миллиона строк и охватывает период с 2014 по 2022 годы. Размещенный семпл содержит ссылки на ресурсы, использующие данную CRM, адреса электронной почты и хэши паролей. Стоимость выставленных на продажу сведений публично не оглашается.
Даже если в итоге окажется, что база неактуальна, мы бы настоятельно рекомендовали всем пользователям Битрикс24 поменять пароли.
👍13👎1
В дополнение к предыдущему посту. Те же самые хакеры выложили в открытый доступ SQL-дамп Битрикс Вакансии размером 1.8 гигабайта и содержащий 1 миллион строк.
База содержит ФИО, желаемую должность, статус обработки резюме, сведения о ресурсе, через который пришел соискатель и прочую служебную информацию.
База содержит ФИО, желаемую должность, статус обработки резюме, сведения о ресурсе, через который пришел соискатель и прочую служебную информацию.
🤔5👍2👎1
Отличный пример сайта, созданного для атаки на конкретного пользователя, а если быть точнее, для взлома конкретного почтового ящика.
В данном случае используется негативная мотивация: «Кто-то заходил в ваш ящик, скорее введите пароль и завершите злонамеренное подключение!». Для того, чтобы еще сильнее запугать жертву применяется любопытный ход – якобы украинский IP-адрес, еще бы, ведь украинские хакеры у всех на слуху. Хотя если мы посмотрим whois, то увидим, что адрес не имеет к Украине никакого отношения.
Спасем неизвестного владельца почты и поскорее отправим домен на блокировку.
UPD: Ресурс заблокирован.
В данном случае используется негативная мотивация: «Кто-то заходил в ваш ящик, скорее введите пароль и завершите злонамеренное подключение!». Для того, чтобы еще сильнее запугать жертву применяется любопытный ход – якобы украинский IP-адрес, еще бы, ведь украинские хакеры у всех на слуху. Хотя если мы посмотрим whois, то увидим, что адрес не имеет к Украине никакого отношения.
Спасем неизвестного владельца почты и поскорее отправим домен на блокировку.
UPD: Ресурс заблокирован.
👍28😁20❤3🔥3
Маскировать вирусы под антивирусы – история некогда весьма популярная, однако сейчас встречающаяся все реже. Поэтому обнаружив сайт security-kaspersky.ru, настойчиво предлагающий скачать файл с названием file.iso, мы не могли пройти мимо. Все-таки фишинг под сайт антивирусной компании, да еще и с вредоносным содержимым – это интересно.
Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.
Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.
Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1
То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:
$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe
Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.
Документ из архива содержит всего одну строку: You are hacked. GG.
Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.
Скачиваемый образ не детектится антивирусами. Чист он и по данным Virustotal.
Внутри он содержит 4 файла:
Документ Word «Приказ.doc» со статусом невидимого файла.
Ярлык с таким же именем, что и документ Word.
PowerShell скрипт
Популярный SSH-клиент PuTTY.
Ярлык представляет собой следующую строку:
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -exec bypass -w h -file z.ps1
То есть по факту запускается powershell-скрипт из образа.
Сам скрипт предельно прост:
$a=[char]1055+[char]1088+[char]1080+[char]1082+[char]1072+[char]1079+[char]46+[char]100+[char]111+[char]99+[char]120
Start-Process $a
Start-Process putty.exe
Если расшифровать первую строку, оказывается, что там написано: «Приказ.doc». То есть скрипт сперва открывает документ, а потом запускает PuTTY. Возникает логичное предположение, что либо файл DOC, либо PuTTY на самом деле являются вредоносными файлами. Но нет, их анализ показывает, что никакого вредоносного пейлоада они в себе не несут.
Документ из архива содержит всего одну строку: You are hacked. GG.
Вывод: похоже, что наши надежды найти закамуфлированный под антивирус троян не оправдались и мы имеем дело с банальной шуткой какого-нибудь script-kiddie, не поленившегося создать под это дело целый фейковый сайт. Впрочем, сама схема вполне работоспособна, если бы в PowerShell скрипте были бы другие строки, с его помощью можно было бы натворить дел.
👍32😁10👏4
Сегодня мы увидели информацию о том, что наши коллеги из мира ИБ обнаружили новый фишинговый сайт, который предлагал россиянам приобрести «отсрочку от призыва». В сообщении говорилось о том, что вредоносный сайт уже заблокирован, но мошенники могут запустить новую версию с другим адресом. На опубликованном скриншоте адрес сайта был замазан, но это неважно, ведь мы уже полтора месяца отслеживаем и блокируем подобные ресурсы, так что описываемый сайт был лишь одним из многих.
Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/
Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.
Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.
Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!
Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.
К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…
Мы не стесняемся публиковать ссылки на фишинг, поэтому вот вам живые примеры:
https://aqzmk.hazylyx.cfd/
https://rkuvx.huganag.cfd/
https://niw2v.hazylyx.cfd/
https://civoh.huganag.cfd/
https://dwij7.hazylyx.cfd/
Заметьте, что домены располагаются в зоне .CFD, а это весьма любопытная зона. Изначально доменная зона была предназначена для торговли CFD - контрактами на разницу цен. CFD считается рискованным финансовым инструментам. В США они даже запрещены законом. CFD стали подвергаться серьёзной критике с 2012 года, то есть вскоре после того, как было подано заявление на регистрацию доменной зоны. В итоге в этой зоне не было зарегистрировано ни одного домена.
Все изменилось в 2021 году, когда компания ShortDot сообщила о приобретении данной зоны. У новых владельцев зона получила новую расшифровку - Clothing & Fashion Design, однако представители индустрии моды новую зону не оценили. Зато оценили её злоумышленники, ведь регистрировать домены в этой зоне можно предельно легко и автоматизированно. Как итог мы имеем волну фишинга в данном домене, причем доменные имена регистрируются скриптами на основе произвольной генерации.
Все это предельно похоже на историю с активно используемо злоумышленниками доменной зоной Центральноафриканской Республики: .CF. Даже домен, черт побери, отличается всего на одну букву!
Мы назвали эту схему «Калоша». Только вот мы отлично понимаем, как не сесть в калошу. Находить такие сайты, пусть даже на доменах третьего уровня, для нас не представляет особого труда, как, впрочем, и отправлять их на блокировку. Сама мошенническая схема не является революционной, а лишь использует актуальную информационную обертку.
К слову сказать, люди, создающие подобные сайты, предлагающие купить отсрочку от мобилизации, отнюдь не являются новичками в криминальном бизнесе. Анализ их ресурсов позволяет выявить массу популярных мошеннических схем, к которым они успели приложить руку:
1. Схема с «коробочками» от имени VK: https://zxae0.pufufos.cfd/
2. Столото: https://h04if.qynevog.cfd/abdjc5b6jybi.php
3. Компенсационные центры: https://1yjl9.hywyhah.cfd/
4. И многое другое…
👍13❤9👏3
Любопытный пример использования сервиса для создания опросов «Марквиз» в целях обмана наивных граждан или представителей организаций: https://mrqz.me/6294a2abe94dc20041dfa28c.
Шаг первый: вы вводите наименование юрлица для того, чтобы проверить его через несуществующий «Портал судебных дел» на предмет обнаружения мошеннических операций.
Шаг второй: вы узнаете, что организация находится в несуществующем черном списке Международного реестра, после чего вам предлагается скачать чек-лист с «алгоритмом самостоятельного возврата средств».
Шаг третий: вы оставляете свое имя и номер телефона.
Вполне очевидно, что данный ресурс используется не сам по себе, а как часть более глобальной схемы, задействующей в том числе социальную инженерию и/или спам-рассылки. Ну а заголовок «Служба по борьбе с мошенничеством г. Москва и обл.» говорит нам о том, что данная «служба» борется с мошенничествами так же, как пчелы с мёдом.
Если вы знаете подробности данной схемы, делитесь в комментариях.
Шаг первый: вы вводите наименование юрлица для того, чтобы проверить его через несуществующий «Портал судебных дел» на предмет обнаружения мошеннических операций.
Шаг второй: вы узнаете, что организация находится в несуществующем черном списке Международного реестра, после чего вам предлагается скачать чек-лист с «алгоритмом самостоятельного возврата средств».
Шаг третий: вы оставляете свое имя и номер телефона.
Вполне очевидно, что данный ресурс используется не сам по себе, а как часть более глобальной схемы, задействующей в том числе социальную инженерию и/или спам-рассылки. Ну а заголовок «Служба по борьбе с мошенничеством г. Москва и обл.» говорит нам о том, что данная «служба» борется с мошенничествами так же, как пчелы с мёдом.
Если вы знаете подробности данной схемы, делитесь в комментариях.
👍16👏3💔2❤1👎1
Про военные компенсации жителям России мы писали не раз, но подобные схемы мошенничеств ориентированы и на граждан других государств. Сегодня расскажем про сайт https://rb-gos.top/, обещающий выплаты гражданам Республики Беларусь.
Сайт основан на шаблоне, скопированном с официального сайта Министерства иностранных дел Республики Беларусь. Впрочем, его отличает феерическая лень создателей, которые не удосужились даже написать тексты фейковых документов – ссылки на них ведут на главную страницу сайта. Не работают и ссылки из меню фейкового сайта.
Если кто-то захочет получить выплату, его ждет стандартный путь: ФИО, телефон и электронная почта, данные банковской карты.
Сайт основан на шаблоне, скопированном с официального сайта Министерства иностранных дел Республики Беларусь. Впрочем, его отличает феерическая лень создателей, которые не удосужились даже написать тексты фейковых документов – ссылки на них ведут на главную страницу сайта. Не работают и ссылки из меню фейкового сайта.
Если кто-то захочет получить выплату, его ждет стандартный путь: ФИО, телефон и электронная почта, данные банковской карты.
👍12🥰2🤬2🤣2😁1
Обычно сайты с фейковыми выплатами ориентированы на жителей России, чуть реже Белоруссии и Казахстана, но сегодня у нас редкий гость: скам-проект под украинскую аудиторию.
Сайт сделан на типовом шаблоне «Единого компенсационного центра», в качестве контактных данных указан email: abuse.supp0rt.mail@gmail.com, который фигурировал на тысячах различных сайтов мошенников, начиная от выплат и заканчивая фейковыми биржами и трудоустройством. Мы много раз писали о сайтах, входящих в эту сеть
В этой истории забавно то, что в случае схемы с фейковыми выплатами почти всегда прослеживался украинский след, так что же поменялось теперь? Ведь «работать» по своим согражданам это «не комильфо». А факт регистрации домена через американскую компанию и использование зарубежного хостинга не вписывается в типичный почерк российских мошенников образца 2022 года.
Сайт сделан на типовом шаблоне «Единого компенсационного центра», в качестве контактных данных указан email: abuse.supp0rt.mail@gmail.com, который фигурировал на тысячах различных сайтов мошенников, начиная от выплат и заканчивая фейковыми биржами и трудоустройством. Мы много раз писали о сайтах, входящих в эту сеть
В этой истории забавно то, что в случае схемы с фейковыми выплатами почти всегда прослеживался украинский след, так что же поменялось теперь? Ведь «работать» по своим согражданам это «не комильфо». А факт регистрации домена через американскую компанию и использование зарубежного хостинга не вписывается в типичный почерк российских мошенников образца 2022 года.
👍5😁3🔥2🤬1