Прошло 2 месяца с момента прошлой утечки покупателей DNS и вот теперь в открытом доступе список сотрудников. 150.000 записей в формате ФИО, личный номер, дата рождения, адрес магазина или должность, личный телефон. Актуальность данных указана как 19.09.2022, видимо придерживали с прошлого раза.
🤬8🤡4😢3
Сегодня в сети выложили данные, предположительно принадлежащие пользователям портала Rabota.ru.
Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям.
Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера.
Интересно выглядит и графа «зарплатные ожидания»: из 390 тысяч записей всего 615 соискателей претендуют на зарплату 100 тысяч и выше (0,15%), рекордсменом является один человек, запросивший 1 миллион.
Несмотря на то, что утечка не содержит ФИО, она все равно может представлять угрозу – мошенничества, связанные с устройством на работу весьма распространены и база соискателей всегда придется к месту, ведь её можно использовать как для рассылки фишинговых писем, так и для целевых обзвонов. Ну а человек, находящийся в постоянном ожидании звонка от потенциального работодателя, всегда является лакомой жертвой.
UPD. После публикации мы получили комментарий Работы.ру:
Информация не соответствует действительности. «Работа.ру» хранит информацию в ином формате данных, а слитый файл представляет собой компиляцию данных из других источников.
Впрочем, это не опровергает высказанную нами версию о парсинге.
Текстовый файл объемом 9.6 мегабайт содержит 390 тысяч строк, включающих адреса электронной почты, телефоны, возраст и зарплатные ожидания. Подобная структура данных дает нам основания предполагать, что речь идет о парсинге. Выборочная проверка показала, что телефоны и адреса электронной почты реальны и принадлежат одним и тем же людям.
Опубликованные данные имеют четкую привязку к Сибирскому федеральному округу, в первую очередь к Новосибирской и Омской областям. Об этом свидетельствуют как специфические для региона адреса почтовых сервисов, так и мобильные номера.
Интересно выглядит и графа «зарплатные ожидания»: из 390 тысяч записей всего 615 соискателей претендуют на зарплату 100 тысяч и выше (0,15%), рекордсменом является один человек, запросивший 1 миллион.
Несмотря на то, что утечка не содержит ФИО, она все равно может представлять угрозу – мошенничества, связанные с устройством на работу весьма распространены и база соискателей всегда придется к месту, ведь её можно использовать как для рассылки фишинговых писем, так и для целевых обзвонов. Ну а человек, находящийся в постоянном ожидании звонка от потенциального работодателя, всегда является лакомой жертвой.
UPD. После публикации мы получили комментарий Работы.ру:
Информация не соответствует действительности. «Работа.ру» хранит информацию в ином формате данных, а слитый файл представляет собой компиляцию данных из других источников.
Впрочем, это не опровергает высказанную нами версию о парсинге.
👍10🤬3🤯2😢1
Давненько не встречался живой фишинг под Почта-банк, думали про них уже и забыли, но нет.
http://p0chtabank.ru/ свеженький, без сертификата и скучный - пройдите опрос, получите деньги.
Для этого укажите номер телефона, карту и введите код из смс для идентификации.
Чтобы вы не переживали за безопасность своих данных - на сайте четко прописано, что при прохождение опроса вам не нужно вводить никаких паролей, а также никаких задних цифр и дат с карты.
Но как всегда косяки. Комментарии в исходнике не потерли, да и футер сайта забыли переделать оставив там реквизиты Сбербанка и ссылки сберовские социальные сети.
http://p0chtabank.ru/ свеженький, без сертификата и скучный - пройдите опрос, получите деньги.
Для этого укажите номер телефона, карту и введите код из смс для идентификации.
Чтобы вы не переживали за безопасность своих данных - на сайте четко прописано, что при прохождение опроса вам не нужно вводить никаких паролей, а также никаких задних цифр и дат с карты.
Но как всегда косяки. Комментарии в исходнике не потерли, да и футер сайта забыли переделать оставив там реквизиты Сбербанка и ссылки сберовские социальные сети.
👍18😁4🔥1😱1
В общий доступ попала база данных сети магазинов «ВкусВилл».
Общий размер опубликованной информации составляет 534 мегабайта в виде 30 файлов в формате JSON.
Выложенные сведения включают следующую информацию: телефон и электронная почта покупателя, дата заказа, дата доставки, сумма покупки, а также последние 4 цифры номера банковской карты. Первичный анализ позволяет предположить, что речь идет об интернет-заказах. Последние заказы датированы декабрем 2022 года, так что база явно свежая. Размещенные данные ранее в сети не публиковались.
P.S. «Вкусвилл» подтвердил информацию об утечке ряда данных пользователей, ведется расследование, — СМИ.
Общий размер опубликованной информации составляет 534 мегабайта в виде 30 файлов в формате JSON.
Выложенные сведения включают следующую информацию: телефон и электронная почта покупателя, дата заказа, дата доставки, сумма покупки, а также последние 4 цифры номера банковской карты. Первичный анализ позволяет предположить, что речь идет об интернет-заказах. Последние заказы датированы декабрем 2022 года, так что база явно свежая. Размещенные данные ранее в сети не публиковались.
P.S. «Вкусвилл» подтвердил информацию об утечке ряда данных пользователей, ведется расследование, — СМИ.
😐16🔥8🤨6👍5🥰5👎3🤬3
После того, как мир облетела новость о том, что Павел Дуров запустил сервис по продаже виртуальных номеров и красивых имен в Telegram, мошенники оживились. Такой инфоповод упускать уж точно нельзя.
И вот мир увидел сайт https://fragment.quest. Он выглядит почти как официальный ресурс https://fragment.com, но с некоторыми незначительными отличиями. Например, официальный сайт не взломает ваш криптокошелек, а этот сделан как раз для этих целей.
Шаблон фейкового сайта скопирован с официального, причем скопирован весьма топорно в том плане, что большая часть ссылок на нем банально не работает. Но это и не нужно, ведь самый главный функционал кроется в том, что при попытке совершить какое-либо действие, например, подключить мессенджер Telegram или криптокошелек TON, вас попросят всего лишь… ввести секретные слова, предназначенные для восстановления доступа к кошельку в тех случаях, когда вы утратили контроль над ним.
И если у вас была криптовалюта, после этого останется лишь помахать ей вслед рукой и порадоваться за того человека, которому вы обеспечили счастливое проживание на Мальдивах на ближайшие пару лет.
И вот мир увидел сайт https://fragment.quest. Он выглядит почти как официальный ресурс https://fragment.com, но с некоторыми незначительными отличиями. Например, официальный сайт не взломает ваш криптокошелек, а этот сделан как раз для этих целей.
Шаблон фейкового сайта скопирован с официального, причем скопирован весьма топорно в том плане, что большая часть ссылок на нем банально не работает. Но это и не нужно, ведь самый главный функционал кроется в том, что при попытке совершить какое-либо действие, например, подключить мессенджер Telegram или криптокошелек TON, вас попросят всего лишь… ввести секретные слова, предназначенные для восстановления доступа к кошельку в тех случаях, когда вы утратили контроль над ним.
И если у вас была криптовалюта, после этого останется лишь помахать ей вслед рукой и порадоваться за того человека, которому вы обеспечили счастливое проживание на Мальдивах на ближайшие пару лет.
👏14👍7😁4😢2
На недельку до второго я уеду в Комарово!
Сегодня в сеть попали данные сайта https://level.travel. Выложенный архив содержит 3 файла: сведения о клиентах, заказах и туристах. База клиентов насчитывает более миллиона строк и содержит сведения об адресах электронной почты, хэшах паролей, времени последнего входа и множество служебной информации. База туристов представляет собой массив на 980 тысяч записей с ФИО, номерами паспортов и идентификаторами заказа.
Последние записи датированы 14 декабря 2022 года, так что утечка явно свежая.
Сегодня в сеть попали данные сайта https://level.travel. Выложенный архив содержит 3 файла: сведения о клиентах, заказах и туристах. База клиентов насчитывает более миллиона строк и содержит сведения об адресах электронной почты, хэшах паролей, времени последнего входа и множество служебной информации. База туристов представляет собой массив на 980 тысяч записей с ФИО, номерами паспортов и идентификаторами заказа.
Последние записи датированы 14 декабря 2022 года, так что утечка явно свежая.
😱14👍1🔥1👏1
Оккупай педофиляй, ну а после продавай!
Тесака уже давно нет, а дело его живет, причем с новым размахом. В дарке стартовал новый тренд – покупка или продажа данных педофилов для дальнейшего развода или шантажа. Причем речь идет как о данных реальных людей с девиантными наклонностями, так и о тех, кто попался на удочку: «ты написал сообщение девочке, а ей на самом деле 14 лет!».
Главным спросом пользуются полные данные конкретного человека, полученные в результате деанона: ФИО, адрес, телефон и так далее. Наличие такой информации значительно повышает успех шантажа, ведь жертве можно сказать, что о ней знают буквально все. Кстати, похожие приемы в последнее время используют и телефонные мошенники, благо утечек персональных данных в этом году было так много, что пробить информацию о любителе молодежи особого труда не составляет.
Можно с уверенностью сказать, что сейчас формируется целое направление криминального бизнеса, заточенное под шантаж представителей педо-сообщества. Стандартная ставка составляет 100 долларов за одного деанонимизированного персонажа, так что желающие заняться подобным OSINT-ом точно найдутся. Правда тут остается огромное поле для спекуляций и провокаций – ничто не мешает продать данные вашего недруга под видом педофила, но, как говорится, это уже совсем другая история.
Тесака уже давно нет, а дело его живет, причем с новым размахом. В дарке стартовал новый тренд – покупка или продажа данных педофилов для дальнейшего развода или шантажа. Причем речь идет как о данных реальных людей с девиантными наклонностями, так и о тех, кто попался на удочку: «ты написал сообщение девочке, а ей на самом деле 14 лет!».
Главным спросом пользуются полные данные конкретного человека, полученные в результате деанона: ФИО, адрес, телефон и так далее. Наличие такой информации значительно повышает успех шантажа, ведь жертве можно сказать, что о ней знают буквально все. Кстати, похожие приемы в последнее время используют и телефонные мошенники, благо утечек персональных данных в этом году было так много, что пробить информацию о любителе молодежи особого труда не составляет.
Можно с уверенностью сказать, что сейчас формируется целое направление криминального бизнеса, заточенное под шантаж представителей педо-сообщества. Стандартная ставка составляет 100 долларов за одного деанонимизированного персонажа, так что желающие заняться подобным OSINT-ом точно найдутся. Правда тут остается огромное поле для спекуляций и провокаций – ничто не мешает продать данные вашего недруга под видом педофила, но, как говорится, это уже совсем другая история.
😁22👍9😱4🤔3👎1🥰1🤩1
И снова прекрасный пример того, как внезапно возникший спрос на определенные категории товаров порождает появление большого количества новых предложений, значительная часть из которых является результатом деятельности мошенников.
Возьмем 5 новых сайтов, объединенных единой тематикой и принадлежащих одному владельцу:
voentorg-pobedashop.ru
voentorg-pobeda-shop.ru
thermo-forma.ru
voentorg-pobeda.ru
pobeda-voentorg.ru
Три из них выполнены словно под копирку и отличаются лишь деталями, такими как адреса и ИНН компаний, которым якобы принадлежат эти магазины, два других имеют иной дизайн, но примерно такую же суть.
Нас часто спрашивают, как отличить фейковый магазин от настоящего, рассказываем: дьявол кроется в деталях. Например, на сайте https://voentorg-pobeda.ru/contact-us указано, что за магазином стоит ООО, но ИНН принадлежат индивидуальному предпринимателю, указанному на той же странице в качестве генерального директора.
Компания якобы находится в Самаре, но телефон +7(495)65 84 25 имеет код Москвы, к тому же в нем отсутствует одна цифра, ведь московские номера семизначные.
Политика обработки персональных данных скопирована с типового шаблона, который работодатель предоставляет наемному работнику, но никак не покупателю. В качестве оператора указано ООО «voentorg-pobeda», что недопустимо с точки зрения правил регистрации юрлиц в РФ.
Сертификаты на продукцию давно истекли.
Ну и наконец вишенка на торте: в качестве оплаты предлагается перевести деньги на счет физического лица (это для ООО!), которое судя по номеру отделения почему-то находится в Ижевске.
Остальные сайты пестрят такими же неточностями. Вот и ответ на вопрос о том, как отличить созданный мошенниками интернет-магазин от настоящего. Конечно, не все фейковые магазины имеют такое количество ошибок, но просто потратив пару минут времени на проверку информации, можно оградить себя от значительной части проблем.
Возьмем 5 новых сайтов, объединенных единой тематикой и принадлежащих одному владельцу:
voentorg-pobedashop.ru
voentorg-pobeda-shop.ru
thermo-forma.ru
voentorg-pobeda.ru
pobeda-voentorg.ru
Три из них выполнены словно под копирку и отличаются лишь деталями, такими как адреса и ИНН компаний, которым якобы принадлежат эти магазины, два других имеют иной дизайн, но примерно такую же суть.
Нас часто спрашивают, как отличить фейковый магазин от настоящего, рассказываем: дьявол кроется в деталях. Например, на сайте https://voentorg-pobeda.ru/contact-us указано, что за магазином стоит ООО, но ИНН принадлежат индивидуальному предпринимателю, указанному на той же странице в качестве генерального директора.
Компания якобы находится в Самаре, но телефон +7(495)65 84 25 имеет код Москвы, к тому же в нем отсутствует одна цифра, ведь московские номера семизначные.
Политика обработки персональных данных скопирована с типового шаблона, который работодатель предоставляет наемному работнику, но никак не покупателю. В качестве оператора указано ООО «voentorg-pobeda», что недопустимо с точки зрения правил регистрации юрлиц в РФ.
Сертификаты на продукцию давно истекли.
Ну и наконец вишенка на торте: в качестве оплаты предлагается перевести деньги на счет физического лица (это для ООО!), которое судя по номеру отделения почему-то находится в Ижевске.
Остальные сайты пестрят такими же неточностями. Вот и ответ на вопрос о том, как отличить созданный мошенниками интернет-магазин от настоящего. Конечно, не все фейковые магазины имеют такое количество ошибок, но просто потратив пару минут времени на проверку информации, можно оградить себя от значительной части проблем.
👍18🫡3👏2❤1👎1🤬1
Сегодня расскажем о таком явлении, как продажа доступов к ресурсам государственных организаций. Обычно, если кто-то взломал какой-то государственный сервер, все это сразу списывается на деятельность каких-нибудь проправительственных или политически ангажированных хакеров. Но это далеко не всегда так.
В одном из тематических каналов мы обнаружили объявление о продаже доступа к серверу, находящемуся на китайском правительственном субдомене. Цена вопроса: всего 300 долларов. А вот доступ к американскому серверу в зоне .gov оценивается всего в 150 долларов.
Впрочем, серверами все не ограничивается. Тот же продавец выставляет на продажу полные доступы к почтовым ящикам в зонах:
.gov.br (Бразилия)
.gov.ng (Нигерия)
.gov.lb (Ливан)
.gov.ph (Филиппины)
.gov.in (Индия)
.go.id (Индонезия)
.gov.co (Колумбия)
Стоимость одного ящика составляет всего 30 долларов, а все вместе они предлагаются за 150. Покупатель получает возможность получать и отправлять письма, а также изучать переписку, хранящуюся в этих ящиках.
Все подобные предложения объединяет одна деталь: по сути, вы покупаете кота в мешке. Опасаясь огласки и потери доступа к ресурсам, продавец не сообщает полные адреса ни ящиков, ни серверов. Этим же обусловлена и сравнительно низкая стоимость.
Почему же такие объявления появляются? Все предельно просто. Вполне очевидно, что в данном случае взлом не был целевым: возможно атакующий нашел уязвимый сервер через Shodan, а пары email-пароль вытащил из баз утечек. А теперь продавец банально не знает, что делать с этими данными и пытается хоть немного на них заработать. Ну а люди, которые найдут всему этому применение, всегда найдутся.
В одном из тематических каналов мы обнаружили объявление о продаже доступа к серверу, находящемуся на китайском правительственном субдомене. Цена вопроса: всего 300 долларов. А вот доступ к американскому серверу в зоне .gov оценивается всего в 150 долларов.
Впрочем, серверами все не ограничивается. Тот же продавец выставляет на продажу полные доступы к почтовым ящикам в зонах:
.gov.br (Бразилия)
.gov.ng (Нигерия)
.gov.lb (Ливан)
.gov.ph (Филиппины)
.gov.in (Индия)
.go.id (Индонезия)
.gov.co (Колумбия)
Стоимость одного ящика составляет всего 30 долларов, а все вместе они предлагаются за 150. Покупатель получает возможность получать и отправлять письма, а также изучать переписку, хранящуюся в этих ящиках.
Все подобные предложения объединяет одна деталь: по сути, вы покупаете кота в мешке. Опасаясь огласки и потери доступа к ресурсам, продавец не сообщает полные адреса ни ящиков, ни серверов. Этим же обусловлена и сравнительно низкая стоимость.
Почему же такие объявления появляются? Все предельно просто. Вполне очевидно, что в данном случае взлом не был целевым: возможно атакующий нашел уязвимый сервер через Shodan, а пары email-пароль вытащил из баз утечек. А теперь продавец банально не знает, что делать с этими данными и пытается хоть немного на них заработать. Ну а люди, которые найдут всему этому применение, всегда найдутся.
👍15👏2🔥1
В последние пару месяцев, а особенно недель, наблюдается масштабная волна взломов аккаунтов в Telegram. Если вы хотите узнать об этом поподробнее, то вот вам ссылка на статью в Коммерсанте, в которой все изложено весьма просто и понятно: https://www.kommersant.ru/amp/5732935
В наше поле зрения такие сайты попадают регулярно, мы не раз писали о них. Только вот если раньше они появлялись в количестве 5-8 штук в месяц, то теперь мы фиксируем подобные ресурсы ежедневно. Шаблоны достаточно типовые, но разнообразные: 12-15 активных вариантов фишинга.
Свежий пример – сайты близнецы:
http://telegram-premiums.ru/
http://1telegram-prems.ru/
Или еще один:
http://telegrampremium.online/
Сама по себе схема максимально простая: авторизуйтесь на сайте, введите свой номер, а потом код из СМС. При этом первые два ресурса являются более продвинутыми: они автоматически проверяют, имеется ли в Telegram пользователь с таким номером телефона, а вот третий сайт просто отправляет все биороботу, который делает все вручную, считая себя крутым хакером. Впрочем, практика показывает, что иногда один биоробот заменяет собой тысячи строк кода.
Вот при помощи таких элементарнейших инструментов и угоняются аккаунты. Ну а мы немного поможем уютной тележечке и отправим фишинговые сайты на блокировку.
UPD:
1telegram-prems.ru - разделегирован через 13 минут
telegram-premiums.ru - разделегирован через 28 минут
В наше поле зрения такие сайты попадают регулярно, мы не раз писали о них. Только вот если раньше они появлялись в количестве 5-8 штук в месяц, то теперь мы фиксируем подобные ресурсы ежедневно. Шаблоны достаточно типовые, но разнообразные: 12-15 активных вариантов фишинга.
Свежий пример – сайты близнецы:
http://telegram-premiums.ru/
http://1telegram-prems.ru/
Или еще один:
http://telegrampremium.online/
Сама по себе схема максимально простая: авторизуйтесь на сайте, введите свой номер, а потом код из СМС. При этом первые два ресурса являются более продвинутыми: они автоматически проверяют, имеется ли в Telegram пользователь с таким номером телефона, а вот третий сайт просто отправляет все биороботу, который делает все вручную, считая себя крутым хакером. Впрочем, практика показывает, что иногда один биоробот заменяет собой тысячи строк кода.
Вот при помощи таких элементарнейших инструментов и угоняются аккаунты. Ну а мы немного поможем уютной тележечке и отправим фишинговые сайты на блокировку.
UPD:
1telegram-prems.ru - разделегирован через 13 минут
telegram-premiums.ru - разделегирован через 28 минут
👍5🙈5🔥3