Все больше фишинговых сайтов использует различные механизмы защиты от обнаружения. Даже сайты фейковых инвестплатформ, неотрывно связанные с телефонными мошенниками, стали применять географическое таргетирование.
И вот пример: свежий сайт, нацеленный на белорусскую аудиторию, https://belarusneft[.]com. Если вы откроете его с белорусского IP-адреса, то будете автоматически перенаправлены на ресурс https://multitudinousness[.]shop/W/belorusneft, на котором висит целый букет шаблонов под различного рода фишинг, и вам откроется типичный фейковый инвестиционный сайт. Кстати, если в адресной строке оставить один лишь домен, вас встретит картинка с веселым баклажаном!
Ну а если ваш адрес не относится к Республике Беларусь, то вам откроется клон сайта БПИФ «Доходъ», оригинал которого находится по адресу https://www.dohod[.]ru. Причем клон (пока) совершенно безобидный – просто ширма.
Ситуация чем-то напоминает много раз описанную нами схему «Хамелеон», только в данном случае все выполнено намного проще, без заморочек с тремя доменами, айфреймами и так далее.
И вот пример: свежий сайт, нацеленный на белорусскую аудиторию, https://belarusneft[.]com. Если вы откроете его с белорусского IP-адреса, то будете автоматически перенаправлены на ресурс https://multitudinousness[.]shop/W/belorusneft, на котором висит целый букет шаблонов под различного рода фишинг, и вам откроется типичный фейковый инвестиционный сайт. Кстати, если в адресной строке оставить один лишь домен, вас встретит картинка с веселым баклажаном!
Ну а если ваш адрес не относится к Республике Беларусь, то вам откроется клон сайта БПИФ «Доходъ», оригинал которого находится по адресу https://www.dohod[.]ru. Причем клон (пока) совершенно безобидный – просто ширма.
Ситуация чем-то напоминает много раз описанную нами схему «Хамелеон», только в данном случае все выполнено намного проще, без заморочек с тремя доменами, айфреймами и так далее.
👍14🔥11🤣5❤2🤡2🌭1😎1
В последние годы схема работы фишинговых сайтов в кредитно-финансовой сфере существенно поменялась. Вместо списания какой-то абстрактной суммы с карты через привязанный к фишинговому сайту интернет-эквайринг, оформленный на левую компанию, злоумышленники стараются получить доступ к личному кабинету клиента банка. Это позволяет не только похитить все имеющиеся в распоряжении жертвы деньги, но иногда еще и оформить на нее кредит.
Рассмотрим работу типичного фишингового ресурса на примере свежего prime-sbr[.]site.
Шаг 1
Привлечь внимание. Розыгрыш 10 миллионов рублей – отличный вариант.
Шаг 2
Получить данные, необходимые для входа в ЛК. В данном случае требуется ввести номер карты.
Шаг 3.
Получить код из СМС для доступа в личный кабинет клиента банка.
Судя по времени реакции на код, здесь используется классическая схема с возомнившим себя хакером биороботом, которому через Telegram-бота прилетает сперва номер карты, а потом код из СМС, и который вручную вбивает все это на официальном сайте банка. Очень популярная нынче схема, которая доказывает, что пока еще не все поддается автоматизации.
Выводы:
Подобные сайты являются крайне опасными, но защититься от такого рода атак не составляет особого труда. Достаточно прокачать навыки «Внимательность» и «Осторожность». В СМС-сообщении из банка прямым текстом указано, что код используется для входа в личный кабинет клиента банка.
Ну и конечно стоит соблюдать базовые правила цифровой гигиены, например, научиться отличать фейковый домен от настоящего. И самая главная рекомендация – не торопиться. Выдохните. 10 миллионов – это, конечно, хорошо, но попробуйте оценить все возможные риски перед тем, как ввести данные своей карты и тем более код из СМС. Не бойтесь обратиться на горячую линию банка за разъяснениями.
А если вы совсем гик, то можете залезть в исходный код. Смешных комментариев про мамонтов тут нет, зато видно, что все логотипы лежат на imgur.com – очень удобно, фишинговые сайты умирают, а картинки хранятся вечно. Вот и этому сайту пришло время уйти в небытие – он был отправлен на блокировку и успешно заблокирован.
Рассмотрим работу типичного фишингового ресурса на примере свежего prime-sbr[.]site.
Шаг 1
Привлечь внимание. Розыгрыш 10 миллионов рублей – отличный вариант.
Шаг 2
Получить данные, необходимые для входа в ЛК. В данном случае требуется ввести номер карты.
Шаг 3.
Получить код из СМС для доступа в личный кабинет клиента банка.
Судя по времени реакции на код, здесь используется классическая схема с возомнившим себя хакером биороботом, которому через Telegram-бота прилетает сперва номер карты, а потом код из СМС, и который вручную вбивает все это на официальном сайте банка. Очень популярная нынче схема, которая доказывает, что пока еще не все поддается автоматизации.
Выводы:
Подобные сайты являются крайне опасными, но защититься от такого рода атак не составляет особого труда. Достаточно прокачать навыки «Внимательность» и «Осторожность». В СМС-сообщении из банка прямым текстом указано, что код используется для входа в личный кабинет клиента банка.
Ну и конечно стоит соблюдать базовые правила цифровой гигиены, например, научиться отличать фейковый домен от настоящего. И самая главная рекомендация – не торопиться. Выдохните. 10 миллионов – это, конечно, хорошо, но попробуйте оценить все возможные риски перед тем, как ввести данные своей карты и тем более код из СМС. Не бойтесь обратиться на горячую линию банка за разъяснениями.
А если вы совсем гик, то можете залезть в исходный код. Смешных комментариев про мамонтов тут нет, зато видно, что все логотипы лежат на imgur.com – очень удобно, фишинговые сайты умирают, а картинки хранятся вечно. Вот и этому сайту пришло время уйти в небытие – он был отправлен на блокировку и успешно заблокирован.
🔥23👍13🤡2❤1
Новый тренд! Злоумышленники через фишинговый сайт крадут… подпись!
Фейковый сайт Росфинмониторинга предлагает ввести персональные данные, после чего оставить в специальном поле подпись курсором мыши. После выполнения квеста жертву просто редиректят на Гугл.
Давненько в фишинге не было принципиально что-то нового, так что мимо данного сайта пройти никак не могу. Кстати, все чаще стали появляться фишинговые сайты, которые требуют доступ к камере телефона или веб-камере, так что шторка на камере, к которой я всегда относился скептически, не такая уж плохая идея.
Сайт отправлен на блокировку.
Фейковый сайт Росфинмониторинга предлагает ввести персональные данные, после чего оставить в специальном поле подпись курсором мыши. После выполнения квеста жертву просто редиректят на Гугл.
Давненько в фишинге не было принципиально что-то нового, так что мимо данного сайта пройти никак не могу. Кстати, все чаще стали появляться фишинговые сайты, которые требуют доступ к камере телефона или веб-камере, так что шторка на камере, к которой я всегда относился скептически, не такая уж плохая идея.
Сайт отправлен на блокировку.
🔥30😁10👍7🤡2
Сегодня интересный улов. На одном владельце фейковые сайты миграционной службы ДНР и миграционной службы РФ.
Dnrmigration[.]ru
Днрмиграция[.]рф
Fedmigrslujrf[.]ru
Если забыть о том, что Федеральной миграционной службы уже давно не существует, в целом данные сайты могут вполне быть опасны для доверчивых людей. От жертвы требуется ввести ФИО, номер телефона, а также данные СНИЛС, паспорта или ИНН. После нажатия на кнопку «Записаться» происходит редирект на уже мертвый сайт лднрмигр[.]рф.
Естественно, введенные данные улетают телефонным мошенникам и после записи следует ожидать звонка от «специалиста».
А теперь интересности:
Указанный на сайте телефон 8 343 216-26-00 – это телефон доверия подразделения по вопросам миграции Свердловской области.
Сами сайты представляют собой образец ленивого фишинга и сделаны в конструкторе craftum.io. Собственно, оригинал «федерального» ресурса располагается по адресу: https://je5006.craftum.io/
Ресурсы отправлены на блокировку.
UPD: сегодня прям урожай. Обнаружились еще
https://migroldnr.ru/
https://migracialdnr.ru/
Dnrmigration[.]ru
Днрмиграция[.]рф
Fedmigrslujrf[.]ru
Если забыть о том, что Федеральной миграционной службы уже давно не существует, в целом данные сайты могут вполне быть опасны для доверчивых людей. От жертвы требуется ввести ФИО, номер телефона, а также данные СНИЛС, паспорта или ИНН. После нажатия на кнопку «Записаться» происходит редирект на уже мертвый сайт лднрмигр[.]рф.
Естественно, введенные данные улетают телефонным мошенникам и после записи следует ожидать звонка от «специалиста».
А теперь интересности:
Указанный на сайте телефон 8 343 216-26-00 – это телефон доверия подразделения по вопросам миграции Свердловской области.
Сами сайты представляют собой образец ленивого фишинга и сделаны в конструкторе craftum.io. Собственно, оригинал «федерального» ресурса располагается по адресу: https://je5006.craftum.io/
Ресурсы отправлены на блокировку.
UPD: сегодня прям урожай. Обнаружились еще
https://migroldnr.ru/
https://migracialdnr.ru/
🔥22😁8❤4🤡3👍2
Очередные черные юристы. Для меня подобный сайт - это сразу маркер неблагонадежных контрагентов, но если этого мало, то вобьем номер в Яндекс...
Что у нас тут?
Классический набор: возврат средств от брокера, использование чужого ОГРН, негативные отзывы еще с 2021 года.
Но вернемся к текущему сайту. Крайне редко упоминаемый в русском языке термин "агенция" возможно должен вызвать интерес у потенциальной аудитории, но скорее вызывает недоумение. Telegram-канал, указанный на сайте, имеет 14 подписчиков, а информация в нем накидана по принципу: "чтобы хоть что-то было". Кстати, сайт свежий, а канал появился в мае, так что наверняка данный сайт не является единственным.
Ну а дальше все как обычно: персональные данные собираем, но согласие не получаем, политику не предоставляем, сведений об операторе, который их обрабатывает, тоже. Ну понятно, юристы же. В партнерах указаны ФСБ, ФНС и военная прокуратура, при этом юристы с опытом работы более 10 лет не могут даже вычитать тезисы на своем сайте.
Примечательно, что в коде страницы обнаруживается телефонный номер: +72282281337, беглый поиск по которому позволяет обнаружить еще букет аналогичных сайтов, а также упоминания неких людей. Но тут уже мы вторгаемся на территорию персональных данных, так что дальнейшие выводы позволим делать нашим подписчикам уже самостоятельно.
Что у нас тут?
Классический набор: возврат средств от брокера, использование чужого ОГРН, негативные отзывы еще с 2021 года.
Но вернемся к текущему сайту. Крайне редко упоминаемый в русском языке термин "агенция" возможно должен вызвать интерес у потенциальной аудитории, но скорее вызывает недоумение. Telegram-канал, указанный на сайте, имеет 14 подписчиков, а информация в нем накидана по принципу: "чтобы хоть что-то было". Кстати, сайт свежий, а канал появился в мае, так что наверняка данный сайт не является единственным.
Ну а дальше все как обычно: персональные данные собираем, но согласие не получаем, политику не предоставляем, сведений об операторе, который их обрабатывает, тоже. Ну понятно, юристы же. В партнерах указаны ФСБ, ФНС и военная прокуратура, при этом юристы с опытом работы более 10 лет не могут даже вычитать тезисы на своем сайте.
Примечательно, что в коде страницы обнаруживается телефонный номер: +72282281337, беглый поиск по которому позволяет обнаружить еще букет аналогичных сайтов, а также упоминания неких людей. Но тут уже мы вторгаемся на территорию персональных данных, так что дальнейшие выводы позволим делать нашим подписчикам уже самостоятельно.
👍26❤11💩7🔥5💯1🤣1
Давненько не было интересного фишинга. А тут вот целый имитатор видеоконфа с Банком России!
Суть работы: мошенник дает вам ID комнаты, вы его вводите, ну а дальше вас разводят. Введете неправильный ID, ничего не произойдет, безопасность же!
Донесите до всех главную мысль: Банк России (ЦБ) не работает с физлицами. Сообщение от ЦБ в адрес физлица - это развод!
Отправляем на блокировку!
Суть работы: мошенник дает вам ID комнаты, вы его вводите, ну а дальше вас разводят. Введете неправильный ID, ничего не произойдет, безопасность же!
Донесите до всех главную мысль: Банк России (ЦБ) не работает с физлицами. Сообщение от ЦБ в адрес физлица - это развод!
Отправляем на блокировку!
🔥20😁11🥰4❤3🤡3