Угроза очередного глобального локдауна подстегивает злоумышленников к решительным действиям. В период с 18 по 19 октября в зоне .RU было зарегистрировано 30 доменных имен, схожих со словом «госуслуги». Настолько массовой регистрации подобных доменов мы не встречали с весны.

Подобные домены могут быть использованы как для фишинга в отношении пользователей портала, так и для схем, связанных с продажей сертификатов о вакцинации, о чем красноречиво говорят слова covid в ряде доменов.

С учетом складывающейся ситуации можно ожидать дальнейшего роста числа доменов и фишинговых сайтов, эксплуатирующих данную тематику.

Ознакомиться со списком выявленных доменов можно по ссылке: https://pastebin.com/WRC7Cr9S.
@In4security

TelegramScraper

Инструмент парсинга чатов в Telegram для исследования дезинформации и расследования инцидентов. Пример организации расследования.
https://os2int.com/toolbox/creating-visual-intelligence-from-telegram-user-group-data/

https://github.com/TechRahul20/TelegramScraper

#hackgit #soft #telegram #чат #парсинг

Индентификации пользователей в мессенджерах - быть.

Теперь все пользователи мессенджеров должны будут законодательно идентифицировать себя и использовать только свой номер телефона при регистрации, а оператор связи и администрация мессенджера должна будет проверить и подтвердить ваш номер между собой за 20 минут. Если информация не совпадет - мессенджер должен будет отказать пользователю в использовании. Каждому пользователю будет назначен уникальный код идентификации.

Онлайн во всех мессенджерах с 1 марта 2022 года.

- Используете ли вы виртуальные номера?
- Telegram приватный или анонимный?

В преддверии ноябрьских выходных мы наблюдаем очередную волну активизации мошенников. Теперь под удар попал гигант российской электронной торговли Ozon.

Сайты OZON-SALES-PROMO.RU (зарегистрирован 23.10.2021) и OZON-PROMOTION.RU (зарегистрирован 22.10.2021) сделаны в конструкторе Tilda и предлагают получить индивидуальную скидку в размере 30%, для чего необходимо обратиться в WhatsApp. В настоящий момент злоумышленники используют номер +79914499343. Ранее в октябре мы фиксировали появление такого же фишингового ресурса на домене OZON-PROMO.RU (уже недоступен), а в качестве контактного номера использовался +79842676875.

Но если тогда общение с мошенниками не принесло результатов, то теперь на номере (который, кстати, подключен к бинзнес-аккаунту), работает бот.

Бот предлагает прислать ему ссылку на понравившийся товар с Озона, после чего генерирует ссылку на оплату, которая действует в течение 60 минут. В нашем случае ссылка ведет на https://ozon.bron-pay.ru/order/cc361cd0 - страницу с логотипом Ozon и имеющую favicon с логотипом Авито. Это говорит нам о том, что мошенники, уже почти 2 года терроризирующие пользователей Авито, Юлы, Блаблакара и прочих букингов, добрались до крупнейшего российского маркетплейса.

Этой осенью Ozon, судя по всему, вообще будет в тренде, раз уж даже сайт PROMOKODI-SVYAZNOY.RU (зарегистрирован 23.10.2021) сразу перенаправляет на https://ozon-promokody.ru – сайт-долгожитель, существующий уже полгода.
@In4security

Пример работы бота мошенников.
@In4security

Фишинговая страница оплаты. Обратите внимание на оставшийся от Авито favicon в заголовке вкладки браузера.
@In4security

Продажа QR-кодов о вакцинации выходит на новый уровень. Сайт https://www.qr-korona.ru предлагает приобрести не поддельный код, а образец того, как он будет выглядеть. Ну вы поняли. Это примерно как заведения, торгующие в ночи алкоголем, продают вам не водку, а бутылку от нее, или вовсе сдают в аренду.

Даже оплата услуг в размере 1990 рублей здесь скромно называется «пожертвованием на развитие сервиса».

После оплаты покупатель получает код, который ведет на фейковый сайт госуслуг, типа тех, что мы уже показывали.

С учетом того, что в октябре количество фейковых доменов под госуслуги уже почти достигло 300, ковидный бизнес вполне себе развивается.

Правда остается посочувствовать донатерам. Вряд ли фейковые домены проживут достаточно долго для того, чтобы ими можно было реально воспользоваться.
@In4security

Пока страна готовится к очередной волне нерабочих дней, школьники ждут каникул, до которых осталась всего неделя. Ну а чем заняться на каникулах после новостей о победе нашей команде в турнире по Dota 2? Залипнуть в компе, ведь теперь можно гордо сообщать родителям, что ты киберспортсмен, а это просто тренировка.

Подготовились к этому не только школьники, но и желающие отжать чужой аккаунт в Steam. Мало того, что количество фейковых страниц выросло, так еще и повысилась их изощренность. Вместо простой фейковой формы ввода логина и пароля в ходу сайты типа https://steam-officialoffers.xyz, на котором вам предложат на обмен какой-нибудь полезный шмот.

Или страницу «Ламповой Няши» Ксюши (https://steamcomnunlity.ru), с которой можно не только торговать, но и подружиться. При попытке совершить какое-либо действие жертве откроется фрейм, имитирующий окно браузера со страницей авторизации Steam. При этом адрес сайта в нем будет написан правильно, так что жертва вполне может не заметить подвоха.

Еще одним способом притупить бдительность жертвы является использование ссылок вида http://steamcommunityzfh.top/store.steampowered.com/login/, вторая часть в которых совпадает с реальным адресом сайта. 20 октября кто-то разом зарегистрировал 13 таких доменов через китайского регистратора и поднял на них фишинговые сайты, располагающиеся на достаточно редком российском хостинге.
@In4security

📲DarkTracer обновил статистику атак Ransomware на Азию (2021)

На сегодняшний день больше всего атак в Азиатском регионе приходится на Японию, Индию, Тайвань и Китай. Меньше интереса группировки проявляют к Сингапуру и Гонконгу.

1. 🇯🇵Япония - 43 атаки
2. 🇮🇳Индия - 42 атаки
3. 🇹🇼Тайвань - 22 атаки
4. 🇨🇳Китай - 17 атак
5. 🇮🇩Индонезия - 15 атак
6. 🇰🇷Южная Корея - 15 атак
7. 🇹🇭 Таиланд - 13 атак
8. 🇸🇬Сингапур - 11 атак
9. 🇭🇰Гонконг - 10 атак

[Представленные данные могут отличаться от статистики других компаний и СМИ]

Постепенно начинает открываться потребность в регистрации около 300 доменных имен, схожих с порталом Госуслуг. Не одними фейковыми вакцинациями и ПЦР-тестами планировали торговать кибермошенники. Не гнушаются они и банального фишинга через мессенджеры. Не забывайте проверять ссылки, по которым переходите!

Хакеры вновь обрушились на Иран.

Случилось это ровным счетом по тому же сценарию, или так скажем, с тем же почерком, что в ходе июльской атаки на железнодорожную отрасль, когда были приостановлены ж/д-сообщения, а на экранах и мониторах вокзалов был указан номер офиса верховного лидера Аятоллы Али Хаменеи в качестве номера техподдержки. Июльская атака на иранские вокзалы позже была связана с вредоносным ПО для удаления данных под названием Meteor.

На этот раз хакеры дезорганизовали работу автозаправочных станций по всей стране, атаковав ИТ-сеть государственной газораспределительной компании NIOPDC, под управлением которой находится более чем 3500 АЗС по всему Ирану. Помимо того, что оборудование отказало в работе, экраны и табло на АЗС массово начали отображать надпись «cyberattack 64411». Как вы догадались 64411 - тот же самый номер того же самого абонента.

Обслуживание транспорта было приостановлено, NIOPDC прекратило работу после того, как специалисты подтвердили возможность хищения денежных средств клиентов злоумышленниками, которые еще оставались в зараженной системе.

Власти страны признали инцидент программным сбоем, после чего национальные новостные агентства подчистили новостные ленты и сводки, несмотря на многочисленные изображения и видеоролики в соцсетях. К настоящему времени работоспособность NIOPDC уже восстановлена, АЗС вновь разливают топливо.

А вот иранские спецслужбы сейчас по ходу активно будут узнать телефонный номер оппонента для совершения обратного звоночка.