Мошенники с маркетплейсов стали использовать Систему быстрых платежей для кражи денег у желающих купить новогодние подарки со скидкой
Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы!
В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества.
Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара.
Во-вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо?
Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги.
В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".
UPD: Наши внимательные читатели заметили, что номер 324300102361 из описания поразительным образом совпадает с ИНН одного зарегистрированного всего полтора месяца назад ИП, основной вид деятельности которого: "Консультативная деятельность и работы в области компьютерных технологий".
Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы!
В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества.
Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара.
Во-вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо?
Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги.
В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".
UPD: Наши внимательные читатели заметили, что номер 324300102361 из описания поразительным образом совпадает с ИНН одного зарегистрированного всего полтора месяца назад ИП, основной вид деятельности которого: "Консультативная деятельность и работы в области компьютерных технологий".
👏18👍12🔥2❤1
Мошенники стали пугать российские организации проверкой ФСБ
В нашем распоряжении оказалась целая пачка писем, направленных в адрес различных компаний от имени УФСБ России по г. Москве и Московской области. На первый взгляд письма выглядят грозно: в них сообщается о проведении внеплановой проверки, по итогам которой было принято решение о возбуждении уголовного дела по признакам состава преступления, предусмотренного ст. 275 УК РФ, а этот не много ни мало – госизмена!
Однако дьявол кроется в деталях. Несмотря на то, что изученные нами письма имеют различия, например, отличаются фамилии и звания подписавших их инспекторов, слегка меняется форматирование и количество ошибок (что может говорить о том, что их не просто копипастят, а набивают вручную), в целом такое письмо, если рассмотреть его повнимательнее, представляет собой ад для делопроизводителя-перфекциониста.
1. Поля. Они откровенно не по ГОСТу. Видите такие поля в документе, скорее всего он имеет мало отношения к реальности.
2. Форматирование… должно быть по ширине, если что.
3. «тся» и «ться»… Вспоминается мем «Требуется уборщится».
4. Уголовное дело в отношении юр.лица? Это какое то новшество!
5. Ссылка на закон «О государственной тайне», к которой организация-получатель не имеет никакого отношения.
6. Документ подписан посредством некоего «зашифрованного канала связи»!
7. ….
8. Profit!
Ну а если честно, то одного взгляда на письмо достаточно для того, чтобы понять, что его писал человек, ни дня не занимавшийся делопроизводством в какой-нибудь госструктуре, даже не ФСБ. Миллион ошибок, несвязный текст, неправильное написание наименований нормативных актов… Ошибок тут бесконечное количество. Но расчет делается на то, что 3 магические буквы Ф, С и Б отключат у получателя критическое мышление…
Если получили подобный документ, смело отправляйте его в мусорку.
В нашем распоряжении оказалась целая пачка писем, направленных в адрес различных компаний от имени УФСБ России по г. Москве и Московской области. На первый взгляд письма выглядят грозно: в них сообщается о проведении внеплановой проверки, по итогам которой было принято решение о возбуждении уголовного дела по признакам состава преступления, предусмотренного ст. 275 УК РФ, а этот не много ни мало – госизмена!
Однако дьявол кроется в деталях. Несмотря на то, что изученные нами письма имеют различия, например, отличаются фамилии и звания подписавших их инспекторов, слегка меняется форматирование и количество ошибок (что может говорить о том, что их не просто копипастят, а набивают вручную), в целом такое письмо, если рассмотреть его повнимательнее, представляет собой ад для делопроизводителя-перфекциониста.
1. Поля. Они откровенно не по ГОСТу. Видите такие поля в документе, скорее всего он имеет мало отношения к реальности.
2. Форматирование… должно быть по ширине, если что.
3. «тся» и «ться»… Вспоминается мем «Требуется уборщится».
4. Уголовное дело в отношении юр.лица? Это какое то новшество!
5. Ссылка на закон «О государственной тайне», к которой организация-получатель не имеет никакого отношения.
6. Документ подписан посредством некоего «зашифрованного канала связи»!
7. ….
8. Profit!
Ну а если честно, то одного взгляда на письмо достаточно для того, чтобы понять, что его писал человек, ни дня не занимавшийся делопроизводством в какой-нибудь госструктуре, даже не ФСБ. Миллион ошибок, несвязный текст, неправильное написание наименований нормативных актов… Ошибок тут бесконечное количество. Но расчет делается на то, что 3 магические буквы Ф, С и Б отключат у получателя критическое мышление…
Если получили подобный документ, смело отправляйте его в мусорку.
🔥37👍15🤣14❤4
Сегодня мы обнаружили 4 новых фишинговых сайта, эксплуатирующих бренд волонтерского движения «Мы вместе»:
http://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/
Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.
Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.
Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.
После недолгого изучения ресурсы были отправлены на блокировку.
UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/
http://gosvyplatyvmeste.ru/
https://rosfinpodderzhka.ru/
https://helpinghope.ru/
https://helpourpeople.ru/
Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС.
Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов.
Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает.
После недолгого изучения ресурсы были отправлены на блокировку.
UPD: Вдогонку на блокировку отправлена еще пачка аналогичных сайтов, появившихся уже 19 января:
https://vmestemysilny.ru/
https://togetherstrength.ru/
https://victoryvolunteers.ru/
https://volunteersvictory.ru/
https://mi-vmeste.ru/
https://vyplatyvmeste.ru/
https://soc-pomosh.ru/
https://sotsvyplata.ru/
https://socfondhelp.ru/
https://publicrelieffund.ru/
https://programapomoshi.ru/
🔥29👍9😁3⚡2🤣2❤1🤮1
В такой прекрасный весенний день не грех выйти из зимней спячки и написать о том, что злоумышленники стали использовать образ трэш-стримера Мелстроя для раскрутки очередной итерации скам-схемы с коробочками.
Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает.
Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.
Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает.
Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.
🤡38😁13🔥4🗿3👍1🤮1
Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки.
Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.
Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru.
Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.
🔥41👍23🤡12🤪4❤2
Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу.
Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.
Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.
Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.
Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.
Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!
Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега.
Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку.
Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется.
Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик.
Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!
🔥88👍38😁14❤2🤡1🥱1