В свежей пачке доменов в зоне .РФ обнаружился вот такой любопытный ресурс: «бабушка-ясновидящая24.рф». Бабушка Ефросинья отличается высокой продуктивностью (помогла более 50 тысячам людей) и нежеланием светить свои контакты – связаться с ней напрямую невозможно, можно лишь использовать форму обратной связи или заполнить анкету, в которой требуется изложить суть проблемы и оставить свои персональные данные.
Но есть у бабушки Ефросиньи свой маленький секрет… она еще и дедушка. Если взять строку из отзыва с сайта бабушки и вставить ее в поисковик, обнаруживается принадлежащий тому же владельцу сайт-двойник «маг-ясновидящий.рф», в заголовке которого написано: «Эрнест – потомственный ясновидящий, экстрасенс».
Магия, да и только!
Но есть у бабушки Ефросиньи свой маленький секрет… она еще и дедушка. Если взять строку из отзыва с сайта бабушки и вставить ее в поисковик, обнаруживается принадлежащий тому же владельцу сайт-двойник «маг-ясновидящий.рф», в заголовке которого написано: «Эрнест – потомственный ясновидящий, экстрасенс».
Магия, да и только!
😁69🤡14🦄7👍4👀2
Timeweb удваивает выплаты за найденные баги
Пока на улице стремительно холодает, багхантеры заваривают чашечку любимого чая или кофе и сурово идут искать уязвимости на BI.ZONE Bug Bounty.
И не просто так, а потому что с 23 ноября по 24 декабря Timeweb удваивает выплаты. Их можно получить за находку уровня high и critical в любых продуктах компании, которые доступны для исследования.
Максимальное вознаграждение — 500 000 рублей.
Успейте сдать отчет и получить двойное баунти!
Пока на улице стремительно холодает, багхантеры заваривают чашечку любимого чая или кофе и сурово идут искать уязвимости на BI.ZONE Bug Bounty.
И не просто так, а потому что с 23 ноября по 24 декабря Timeweb удваивает выплаты. Их можно получить за находку уровня high и critical в любых продуктах компании, которые доступны для исследования.
Максимальное вознаграждение — 500 000 рублей.
Успейте сдать отчет и получить двойное баунти!
👍6🤡3🔥1
Forwarded from CyberSquatting RU Alerts
А вот и практическое применение доменов для угона аккаунтов телеграм. Хочу обратить внимание на собачку в имени хоста, достаточно новая фишечка. Видимо, те же ребята, что и в этом посте. Ну и бонусом еще немного их доменов:
cancel-action[.ru
cancel-action[.online
action-confirm[.ru
action-confirm[.site
action-cancel[.ru
export-cancel[.ru
confirm-action[.ru
За картинку спасибо Политджойстик
cancel-action[.ru
cancel-action[.online
action-confirm[.ru
action-confirm[.site
action-cancel[.ru
export-cancel[.ru
confirm-action[.ru
За картинку спасибо Политджойстик
👍26🤡8✍1🔥1🫡1
Мошенники с маркетплейсов стали использовать Систему быстрых платежей для кражи денег у желающих купить новогодние подарки со скидкой
Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы!
В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества.
Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара.
Во-вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо?
Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги.
В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".
UPD: Наши внимательные читатели заметили, что номер 324300102361 из описания поразительным образом совпадает с ИНН одного зарегистрированного всего полтора месяца назад ИП, основной вид деятельности которого: "Консультативная деятельность и работы в области компьютерных технологий".
Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы!
В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества.
Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара.
Во-вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо?
Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги.
В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".
UPD: Наши внимательные читатели заметили, что номер 324300102361 из описания поразительным образом совпадает с ИНН одного зарегистрированного всего полтора месяца назад ИП, основной вид деятельности которого: "Консультативная деятельность и работы в области компьютерных технологий".
👏18👍12🔥2❤1
Мошенники стали пугать российские организации проверкой ФСБ
В нашем распоряжении оказалась целая пачка писем, направленных в адрес различных компаний от имени УФСБ России по г. Москве и Московской области. На первый взгляд письма выглядят грозно: в них сообщается о проведении внеплановой проверки, по итогам которой было принято решение о возбуждении уголовного дела по признакам состава преступления, предусмотренного ст. 275 УК РФ, а этот не много ни мало – госизмена!
Однако дьявол кроется в деталях. Несмотря на то, что изученные нами письма имеют различия, например, отличаются фамилии и звания подписавших их инспекторов, слегка меняется форматирование и количество ошибок (что может говорить о том, что их не просто копипастят, а набивают вручную), в целом такое письмо, если рассмотреть его повнимательнее, представляет собой ад для делопроизводителя-перфекциониста.
1. Поля. Они откровенно не по ГОСТу. Видите такие поля в документе, скорее всего он имеет мало отношения к реальности.
2. Форматирование… должно быть по ширине, если что.
3. «тся» и «ться»… Вспоминается мем «Требуется уборщится».
4. Уголовное дело в отношении юр.лица? Это какое то новшество!
5. Ссылка на закон «О государственной тайне», к которой организация-получатель не имеет никакого отношения.
6. Документ подписан посредством некоего «зашифрованного канала связи»!
7. ….
8. Profit!
Ну а если честно, то одного взгляда на письмо достаточно для того, чтобы понять, что его писал человек, ни дня не занимавшийся делопроизводством в какой-нибудь госструктуре, даже не ФСБ. Миллион ошибок, несвязный текст, неправильное написание наименований нормативных актов… Ошибок тут бесконечное количество. Но расчет делается на то, что 3 магические буквы Ф, С и Б отключат у получателя критическое мышление…
Если получили подобный документ, смело отправляйте его в мусорку.
В нашем распоряжении оказалась целая пачка писем, направленных в адрес различных компаний от имени УФСБ России по г. Москве и Московской области. На первый взгляд письма выглядят грозно: в них сообщается о проведении внеплановой проверки, по итогам которой было принято решение о возбуждении уголовного дела по признакам состава преступления, предусмотренного ст. 275 УК РФ, а этот не много ни мало – госизмена!
Однако дьявол кроется в деталях. Несмотря на то, что изученные нами письма имеют различия, например, отличаются фамилии и звания подписавших их инспекторов, слегка меняется форматирование и количество ошибок (что может говорить о том, что их не просто копипастят, а набивают вручную), в целом такое письмо, если рассмотреть его повнимательнее, представляет собой ад для делопроизводителя-перфекциониста.
1. Поля. Они откровенно не по ГОСТу. Видите такие поля в документе, скорее всего он имеет мало отношения к реальности.
2. Форматирование… должно быть по ширине, если что.
3. «тся» и «ться»… Вспоминается мем «Требуется уборщится».
4. Уголовное дело в отношении юр.лица? Это какое то новшество!
5. Ссылка на закон «О государственной тайне», к которой организация-получатель не имеет никакого отношения.
6. Документ подписан посредством некоего «зашифрованного канала связи»!
7. ….
8. Profit!
Ну а если честно, то одного взгляда на письмо достаточно для того, чтобы понять, что его писал человек, ни дня не занимавшийся делопроизводством в какой-нибудь госструктуре, даже не ФСБ. Миллион ошибок, несвязный текст, неправильное написание наименований нормативных актов… Ошибок тут бесконечное количество. Но расчет делается на то, что 3 магические буквы Ф, С и Б отключат у получателя критическое мышление…
Если получили подобный документ, смело отправляйте его в мусорку.
🔥37👍15🤣14❤4
Сегодня мы обнаружили 4 новых фишинговых сайта, эксплуатирующих бренд волонтерского движения «Мы вместе»:
http://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/
Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.
Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.
Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.
После недолгого изучения ресурсы были отправлены на блокировку.
UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/
http://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/
Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.
Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.
Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.
После недолгого изучения ресурсы были отправлены на блокировку.
UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/
🔥29👍9😁3⚡2🤣2❤1🤮1
В такой прекрасный весенний день не грех выйти из зимней спячки и написать о том, что злоумышленники стали использовать образ трэш-стримера Мелстроя для раскрутки очередной итерации скам-схемы с коробочками.
Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает.
Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.
Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает.
Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.
🤡38😁13🔥4🗿3👍1🤮1
Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки.
Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.
Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.
Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
🔥41👍23🤡12🤪4❤2