В январе мы писали о том, что злоумышленники стали использовать для взлома аккаунтов VK фейковые сайты, предлагающие найти на себя компромат и естественно сразу же его удалить. Но тогда мы не прикладывали скриншоты. И вот теперь у нас появилась возможность все исправить. Сайт https://searchsliv.ru сделан на том же самом шаблоне в рамках той же схемы.
А схема предельно проста. Сначала вам раскрывают ужасные перспективы использования ваших данных хакерами, а потом предлагают проверить свою учетную запись, вдруг что найдется. К слову, визуально сайт сделан вполне неплохо – практически бриллиант на общем фоне халтурных скам-поделок.
Естественно, компромат найдется на любой профиль ВК, даже тот, что не существует. А вот для того, чтобы его скачать, как обычно потребуется ввести логин и пароль.
Ну и раз уж мы затронули тему взломов, то расскажем вам еще и о том, как угоняют учетные записи в Telegram на примере сайта https://login-telegram.ru.
Тут все еще проще. Ресурс выдает себя за веб-клиент мессенджера и просит ввести сперва номер телефона, а потом код из СМС. Конец в данном случае немного предсказуем: если у жертвы не настроена двухфакторная аутентификация, её аккаунт уплывет к новому владельцу.
Любопытно, что судя по строке в коде страницы, сайт был скопирован с ресурса телеграм.онлайн, так что можем смело записывать его в нашу любимую категорию #ленивыйфишинг!
А схема предельно проста. Сначала вам раскрывают ужасные перспективы использования ваших данных хакерами, а потом предлагают проверить свою учетную запись, вдруг что найдется. К слову, визуально сайт сделан вполне неплохо – практически бриллиант на общем фоне халтурных скам-поделок.
Естественно, компромат найдется на любой профиль ВК, даже тот, что не существует. А вот для того, чтобы его скачать, как обычно потребуется ввести логин и пароль.
Ну и раз уж мы затронули тему взломов, то расскажем вам еще и о том, как угоняют учетные записи в Telegram на примере сайта https://login-telegram.ru.
Тут все еще проще. Ресурс выдает себя за веб-клиент мессенджера и просит ввести сперва номер телефона, а потом код из СМС. Конец в данном случае немного предсказуем: если у жертвы не настроена двухфакторная аутентификация, её аккаунт уплывет к новому владельцу.
Любопытно, что судя по строке в коде страницы, сайт был скопирован с ресурса телеграм.онлайн, так что можем смело записывать его в нашу любимую категорию #ленивыйфишинг!
👍16
Прошло 2 месяца с момента прошлой утечки покупателей DNS и вот теперь в открытом доступе список сотрудников. 150.000 записей в формате ФИО, личный номер, дата рождения, адрес магазина или должность, личный телефон. Актуальность данных указана как 19.09.2022, видимо придерживали с прошлого раза.
🤬8🤡4😢3
Сегодня в сети выложили данные, предположительно принадлежащие пользователям портала Rabota.ru.
Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям.
Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера.
Интересно выглядит и графа «зарплатные ожидания»: из 390 тысяч записей всего 615 соискателей претендуют на зарплату 100 тысяч и выше (0,15%), рекордсменом является один человек, запросивший 1 миллион.
Несмотря на то, что утечка не содержит ФИО, она все равно может представлять угрозу – мошенничества, связанные с устройством на работу весьма распространены и база соискателей всегда придется к месту, ведь её можно использовать как для рассылки фишинговых писем, так и для целевых обзвонов. Ну а человек, находящийся в постоянном ожидании звонка от потенциального работодателя, всегда является лакомой жертвой.
UPD. После публикации мы получили комментарий Работы.ру:
Информация не соответствует действительности. «Работа.ру» хранит информацию в ином формате данных, а слитый файл представляет собой компиляцию данных из других источников.
Впрочем, это не опровергает высказанную нами версию о парсинге.
Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям.
Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера.
Интересно выглядит и графа «зарплатные ожидания»: из 390 тысяч записей всего 615 соискателей претендуют на зарплату 100 тысяч и выше (0,15%), рекордсменом является один человек, запросивший 1 миллион.
Несмотря на то, что утечка не содержит ФИО, она все равно может представлять угрозу – мошенничества, связанные с устройством на работу весьма распространены и база соискателей всегда придется к месту, ведь её можно использовать как для рассылки фишинговых писем, так и для целевых обзвонов. Ну а человек, находящийся в постоянном ожидании звонка от потенциального работодателя, всегда является лакомой жертвой.
UPD. После публикации мы получили комментарий Работы.ру:
Информация не соответствует действительности. «Работа.ру» хранит информацию в ином формате данных, а слитый файл представляет собой компиляцию данных из других источников.
Впрочем, это не опровергает высказанную нами версию о парсинге.
👍10🤬3🤯2😢1
Давненько не встречался живой фишинг под Почта-банк, думали про них уже и забыли, но нет.
http://p0chtabank.ru/ свеженький, без сертификата и скучный - пройдите опрос, получите деньги.
Для этого укажите номер телефона, карту и введите код из смс для идентификации.
Чтобы вы не переживали за безопасность своих данных - на сайте четко прописано, что при прохождение опроса вам не нужно вводить никаких паролей, а также никаких задних цифр и дат с карты.
Но как всегда косяки. Комментарии в исходнике не потерли, да и футер сайта забыли переделать оставив там реквизиты Сбербанка и ссылки сберовские социальные сети.
http://p0chtabank.ru/ свеженький, без сертификата и скучный - пройдите опрос, получите деньги.
Для этого укажите номер телефона, карту и введите код из смс для идентификации.
Чтобы вы не переживали за безопасность своих данных - на сайте четко прописано, что при прохождение опроса вам не нужно вводить никаких паролей, а также никаких задних цифр и дат с карты.
Но как всегда косяки. Комментарии в исходнике не потерли, да и футер сайта забыли переделать оставив там реквизиты Сбербанка и ссылки сберовские социальные сети.
👍18😁4🔥1😱1
В общий доступ попала база данных сети магазинов «ВкусВилл».
Общий размер опубликованной информации составляет 534 мегабайта в виде 30 файлов в формате JSON.
Выложенные сведения включают следующую информацию: телефон и электронная почта покупателя, дата заказа, дата доставки, сумма покупки, а также последние 4 цифры номера банковской карты. Первичный анализ позволяет предположить, что речь идет об интернет-заказах. Последние заказы датированы декабрем 2022 года, так что база явно свежая. Размещенные данные ранее в сети не публиковались.
P.S. «Вкусвилл» подтвердил информацию об утечке ряда данных пользователей, ведется расследование, — СМИ.
Общий размер опубликованной информации составляет 534 мегабайта в виде 30 файлов в формате JSON.
Выложенные сведения включают следующую информацию: телефон и электронная почта покупателя, дата заказа, дата доставки, сумма покупки, а также последние 4 цифры номера банковской карты. Первичный анализ позволяет предположить, что речь идет об интернет-заказах. Последние заказы датированы декабрем 2022 года, так что база явно свежая. Размещенные данные ранее в сети не публиковались.
P.S. «Вкусвилл» подтвердил информацию об утечке ряда данных пользователей, ведется расследование, — СМИ.
😐16🔥8🤨6👍5🥰5👎3🤬3
После того, как мир облетела новость о том, что Павел Дуров запустил сервис по продаже виртуальных номеров и красивых имен в Telegram, мошенники оживились. Такой инфоповод упускать уж точно нельзя.
И вот мир увидел сайт https://fragment.quest. Он выглядит почти как официальный ресурс https://fragment.com, но с некоторыми незначительными отличиями. Например, официальный сайт не взломает ваш криптокошелек, а этот сделан как раз для этих целей.
Шаблон фейкового сайта скопирован с официального, причем скопирован весьма топорно в том плане, что большая часть ссылок на нем банально не работает. Но это и не нужно, ведь самый главный функционал кроется в том, что при попытке совершить какое-либо действие, например, подключить мессенджер Telegram или криптокошелек TON, вас попросят всего лишь… ввести секретные слова, предназначенные для восстановления доступа к кошельку в тех случаях, когда вы утратили контроль над ним.
И если у вас была криптовалюта, после этого останется лишь помахать ей вслед рукой и порадоваться за того человека, которому вы обеспечили счастливое проживание на Мальдивах на ближайшие пару лет.
И вот мир увидел сайт https://fragment.quest. Он выглядит почти как официальный ресурс https://fragment.com, но с некоторыми незначительными отличиями. Например, официальный сайт не взломает ваш криптокошелек, а этот сделан как раз для этих целей.
Шаблон фейкового сайта скопирован с официального, причем скопирован весьма топорно в том плане, что большая часть ссылок на нем банально не работает. Но это и не нужно, ведь самый главный функционал кроется в том, что при попытке совершить какое-либо действие, например, подключить мессенджер Telegram или криптокошелек TON, вас попросят всего лишь… ввести секретные слова, предназначенные для восстановления доступа к кошельку в тех случаях, когда вы утратили контроль над ним.
И если у вас была криптовалюта, после этого останется лишь помахать ей вслед рукой и порадоваться за того человека, которому вы обеспечили счастливое проживание на Мальдивах на ближайшие пару лет.
👏14👍7😁4😢2
На недельку до второго я уеду в Комарово!
Сегодня в сеть попали данные сайта https://level.travel. Выложенный архив содержит 3 файла: сведения о клиентах, заказах и туристах. База клиентов насчитывает более миллиона строк и содержит сведения об адресах электронной почты, хэшах паролей, времени последнего входа и множество служебной информации. База туристов представляет собой массив на 980 тысяч записей с ФИО, номерами паспортов и идентификаторами заказа.
Последние записи датированы 14 декабря 2022 года, так что утечка явно свежая.
Сегодня в сеть попали данные сайта https://level.travel. Выложенный архив содержит 3 файла: сведения о клиентах, заказах и туристах. База клиентов насчитывает более миллиона строк и содержит сведения об адресах электронной почты, хэшах паролей, времени последнего входа и множество служебной информации. База туристов представляет собой массив на 980 тысяч записей с ФИО, номерами паспортов и идентификаторами заказа.
Последние записи датированы 14 декабря 2022 года, так что утечка явно свежая.
😱14👍1🔥1👏1
Оккупай педофиляй, ну а после продавай!
Тесака уже давно нет, а дело его живет, причем с новым размахом. В дарке стартовал новый тренд – покупка или продажа данных педофилов для дальнейшего развода или шантажа. Причем речь идет как о данных реальных людей с девиантными наклонностями, так и о тех, кто попался на удочку: «ты написал сообщение девочке, а ей на самом деле 14 лет!».
Главным спросом пользуются полные данные конкретного человека, полученные в результате деанона: ФИО, адрес, телефон и так далее. Наличие такой информации значительно повышает успех шантажа, ведь жертве можно сказать, что о ней знают буквально все. Кстати, похожие приемы в последнее время используют и телефонные мошенники, благо утечек персональных данных в этом году было так много, что пробить информацию о любителе молодежи особого труда не составляет.
Можно с уверенностью сказать, что сейчас формируется целое направление криминального бизнеса, заточенное под шантаж представителей педо-сообщества. Стандартная ставка составляет 100 долларов за одного деанонимизированного персонажа, так что желающие заняться подобным OSINT-ом точно найдутся. Правда тут остается огромное поле для спекуляций и провокаций – ничто не мешает продать данные вашего недруга под видом педофила, но, как говорится, это уже совсем другая история.
Тесака уже давно нет, а дело его живет, причем с новым размахом. В дарке стартовал новый тренд – покупка или продажа данных педофилов для дальнейшего развода или шантажа. Причем речь идет как о данных реальных людей с девиантными наклонностями, так и о тех, кто попался на удочку: «ты написал сообщение девочке, а ей на самом деле 14 лет!».
Главным спросом пользуются полные данные конкретного человека, полученные в результате деанона: ФИО, адрес, телефон и так далее. Наличие такой информации значительно повышает успех шантажа, ведь жертве можно сказать, что о ней знают буквально все. Кстати, похожие приемы в последнее время используют и телефонные мошенники, благо утечек персональных данных в этом году было так много, что пробить информацию о любителе молодежи особого труда не составляет.
Можно с уверенностью сказать, что сейчас формируется целое направление криминального бизнеса, заточенное под шантаж представителей педо-сообщества. Стандартная ставка составляет 100 долларов за одного деанонимизированного персонажа, так что желающие заняться подобным OSINT-ом точно найдутся. Правда тут остается огромное поле для спекуляций и провокаций – ничто не мешает продать данные вашего недруга под видом педофила, но, как говорится, это уже совсем другая история.
😁22👍9😱4🤔3👎1🥰1🤩1
И снова прекрасный пример того, как внезапно возникший спрос на определенные категории товаров порождает появление большого количества новых предложений, значительная часть из которых является результатом деятельности мошенников.
Возьмем 5 новых сайтов, объединенных единой тематикой и принадлежащих одному владельцу:
voentorg-pobedashop.ru
voentorg-pobeda-shop.ru
thermo-forma.ru
voentorg-pobeda.ru
pobeda-voentorg.ru
Три из них выполнены словно под копирку и отличаются лишь деталями, такими как адреса и ИНН компаний, которым якобы принадлежат эти магазины, два других имеют иной дизайн, но примерно такую же суть.
Нас часто спрашивают, как отличить фейковый магазин от настоящего, рассказываем: дьявол кроется в деталях. Например, на сайте https://voentorg-pobeda.ru/contact-us указано, что за магазином стоит ООО, но ИНН принадлежат индивидуальному предпринимателю, указанному на той же странице в качестве генерального директора.
Компания якобы находится в Самаре, но телефон +7(495)65 84 25 имеет код Москвы, к тому же в нем отсутствует одна цифра, ведь московские номера семизначные.
Политика обработки персональных данных скопирована с типового шаблона, который работодатель предоставляет наемному работнику, но никак не покупателю. В качестве оператора указано ООО «voentorg-pobeda», что недопустимо с точки зрения правил регистрации юрлиц в РФ.
Сертификаты на продукцию давно истекли.
Ну и наконец вишенка на торте: в качестве оплаты предлагается перевести деньги на счет физического лица (это для ООО!), которое судя по номеру отделения почему-то находится в Ижевске.
Остальные сайты пестрят такими же неточностями. Вот и ответ на вопрос о том, как отличить созданный мошенниками интернет-магазин от настоящего. Конечно, не все фейковые магазины имеют такое количество ошибок, но просто потратив пару минут времени на проверку информации, можно оградить себя от значительной части проблем.
Возьмем 5 новых сайтов, объединенных единой тематикой и принадлежащих одному владельцу:
voentorg-pobedashop.ru
voentorg-pobeda-shop.ru
thermo-forma.ru
voentorg-pobeda.ru
pobeda-voentorg.ru
Три из них выполнены словно под копирку и отличаются лишь деталями, такими как адреса и ИНН компаний, которым якобы принадлежат эти магазины, два других имеют иной дизайн, но примерно такую же суть.
Нас часто спрашивают, как отличить фейковый магазин от настоящего, рассказываем: дьявол кроется в деталях. Например, на сайте https://voentorg-pobeda.ru/contact-us указано, что за магазином стоит ООО, но ИНН принадлежат индивидуальному предпринимателю, указанному на той же странице в качестве генерального директора.
Компания якобы находится в Самаре, но телефон +7(495)65 84 25 имеет код Москвы, к тому же в нем отсутствует одна цифра, ведь московские номера семизначные.
Политика обработки персональных данных скопирована с типового шаблона, который работодатель предоставляет наемному работнику, но никак не покупателю. В качестве оператора указано ООО «voentorg-pobeda», что недопустимо с точки зрения правил регистрации юрлиц в РФ.
Сертификаты на продукцию давно истекли.
Ну и наконец вишенка на торте: в качестве оплаты предлагается перевести деньги на счет физического лица (это для ООО!), которое судя по номеру отделения почему-то находится в Ижевске.
Остальные сайты пестрят такими же неточностями. Вот и ответ на вопрос о том, как отличить созданный мошенниками интернет-магазин от настоящего. Конечно, не все фейковые магазины имеют такое количество ошибок, но просто потратив пару минут времени на проверку информации, можно оградить себя от значительной части проблем.
👍18🫡3👏2❤1👎1🤬1
Сегодня расскажем о таком явлении, как продажа доступов к ресурсам государственных организаций. Обычно, если кто-то взломал какой-то государственный сервер, все это сразу списывается на деятельность каких-нибудь проправительственных или политически ангажированных хакеров. Но это далеко не всегда так.
В одном из тематических каналов мы обнаружили объявление о продаже доступа к серверу, находящемуся на китайском правительственном субдомене. Цена вопроса: всего 300 долларов. А вот доступ к американскому серверу в зоне .gov оценивается всего в 150 долларов.
Впрочем, серверами все не ограничивается. Тот же продавец выставляет на продажу полные доступы к почтовым ящикам в зонах:
.gov.br (Бразилия)
.gov.ng (Нигерия)
.gov.lb (Ливан)
.gov.ph (Филиппины)
.gov.in (Индия)
.go.id (Индонезия)
.gov.co (Колумбия)
Стоимость одного ящика составляет всего 30 долларов, а все вместе они предлагаются за 150. Покупатель получает возможность получать и отправлять письма, а также изучать переписку, хранящуюся в этих ящиках.
Все подобные предложения объединяет одна деталь: по сути, вы покупаете кота в мешке. Опасаясь огласки и потери доступа к ресурсам, продавец не сообщает полные адреса ни ящиков, ни серверов. Этим же обусловлена и сравнительно низкая стоимость.
Почему же такие объявления появляются? Все предельно просто. Вполне очевидно, что в данном случае взлом не был целевым: возможно атакующий нашел уязвимый сервер через Shodan, а пары email-пароль вытащил из баз утечек. А теперь продавец банально не знает, что делать с этими данными и пытается хоть немного на них заработать. Ну а люди, которые найдут всему этому применение, всегда найдутся.
В одном из тематических каналов мы обнаружили объявление о продаже доступа к серверу, находящемуся на китайском правительственном субдомене. Цена вопроса: всего 300 долларов. А вот доступ к американскому серверу в зоне .gov оценивается всего в 150 долларов.
Впрочем, серверами все не ограничивается. Тот же продавец выставляет на продажу полные доступы к почтовым ящикам в зонах:
.gov.br (Бразилия)
.gov.ng (Нигерия)
.gov.lb (Ливан)
.gov.ph (Филиппины)
.gov.in (Индия)
.go.id (Индонезия)
.gov.co (Колумбия)
Стоимость одного ящика составляет всего 30 долларов, а все вместе они предлагаются за 150. Покупатель получает возможность получать и отправлять письма, а также изучать переписку, хранящуюся в этих ящиках.
Все подобные предложения объединяет одна деталь: по сути, вы покупаете кота в мешке. Опасаясь огласки и потери доступа к ресурсам, продавец не сообщает полные адреса ни ящиков, ни серверов. Этим же обусловлена и сравнительно низкая стоимость.
Почему же такие объявления появляются? Все предельно просто. Вполне очевидно, что в данном случае взлом не был целевым: возможно атакующий нашел уязвимый сервер через Shodan, а пары email-пароль вытащил из баз утечек. А теперь продавец банально не знает, что делать с этими данными и пытается хоть немного на них заработать. Ну а люди, которые найдут всему этому применение, всегда найдутся.
👍15👏2🔥1