in2security

Вот уже несколько лет фишинг с голосованиями держит свои позиции и даже развивается. Зачем угонять один лишь Telegram, если можно сразу угнать еще и аккаунт в VK?

Мошеннические схемы меняются очень редко. В основном меняются информационные подводки, призванные заинтересовать жертву, или какие-то служебные звенья цепочки. Вот отличный пример сайта, используемого телефонными мошенниками. Одно время массово использовались ресурсы, на которых можно было ввести «номер жетона» или что-то подобное, а теперь просят ввести номер-код дела. Все для того, чтобы нагнать жути и создать иллюзию серьезности ситуации. Суть схемы от этого не меняется, но аудитория потенциальных жертв расширяется, равно как и вариативность сценариев в рамках этой самой схемы.

Вы слышали про ассоциацию международных почтовых провайдеров? Я – нет. Если у меня есть домен и почтовый сервер, являюсь ли я сам международным почтовым провайдером? На самом деле это классический пример древнейшей скам-схемы. Почему-то именно сейчас ожили динозавры и подобных примеров весьма много. Буду писать о самых любопытных образцах ископаемого скама. P.S. Кстати, обратите внимание на то, как сплющилась по горизонтали техника Apple. Хочу квадратный iMac!

Вчера должна была завершиться наделавшая много шума битва между горой и небоскребами за право присутствовать на 500-рублевой купюре. Однако, голосование в итоге отменили, а сама история очень хорошо показала, что, если голосование резонансное и привлекает внимание общественности, политиков и блогеров-миллионников, дело не обойдется без махинаций. Вообще история с накруткой голосов отнюдь не нова. Особенно часто в последние годы информация о накрутках всплывала в контексте песенных шоу. Так, в 2019 году разразился скандал на шоу «Голос.Дети», по итогам которого результаты финального голосования были отменены. В 2020 году похожий скандал произошел уже в процессе отбора на «Детское Евровидение». И это лишь пара примеров, на самом деле подобные скандалы происходят с завидной регулярностью, а услуги по накрутке голосов давно закрепились на теневом рынке и пользуются большим спросом, тем более что за редкими оговорками схема является «серой», а не «черной» и не несет особых рисков для заказчиков или исполнителей. Давайте повнимательнее взглянем на рынок накрутки и посмотрим, как это устроено. Накрутка делится на два больших сегмента: накрутка подписчиков и накрутка голосов. Первый сегмент куда более массовый и активно используется в SEO, второй – более нишевый, но тоже популярный. Есть еще и третий сегмент – накрутка отзывов на маркетплейсах и доска объявлений, но сейчас не об этом. Вне зависимости от того, что конкретно накручивают, существует две опции: накрутка ботами и накрутка живыми людьми. Первое – более дешевый и массовый вариант, второе – более надежный и продвинутый в плане обхода защиты, но и более дорогой. Основной площадкой по продаже голосов конечно же является Telegram, впрочем, существует и немало сайтов, на которых предлагают такого рода услуги. Стоит отметить, что как минимум 40% подобных объявлений являются откровенным скамом, а фейковые накруточные сайты появляются с завидной регулярностью. Так сколько же стоит накрутка голосов? Самые дешевые варианты накрутки подписчиков обойдутся чуть более 1 рубля за голос. Но это боты, которые не пройдут капчу или многоступенчатые формы. Накрутка в несколько нажатий или с обходом капчи обойдется уже от 4 рублей за голос. Если требуется пройти подтверждение по СМС, стоимость возрастает кратно: 15-30 рублей за один голос. Стоимость накрутки с использованием живых людей обойдется уже в сумму от 7 рублей за голос, а если требуются дополнительные подтверждения, то сумма вырастет уже до 20-45 рублей. При этом надо понимать, что если ботов сотни тысяч, то количество живых людей куда более скромное. Большинство сервисов может обеспечить от пары тысяч до пятидесяти тысяч живых голосов. Если нужно больше, стоимость увеличивается. Накрутка с использованием аккаунтов Госуслуг – это уже от 150 рублей за голос. А далее простая математика. Два лидера голосования набрали более чем миллион голосов на момент, когда конкурс был остановлен. Изначально голосование осуществлялось через разные платформы, но в итоге его ограничили Порталом государственных услуг. Но ведь ничего не запрещает мне взять деньги и проголосовать за того, кого мне укажут? Это же не государственные выборы? Так что поле для накруток осталось и тут. Допустим, что накручено было всего 10% голосов. Варианты за 1 рубль не пройдут, поэтому возьмем как отправную точку 4 рубля. Получаем сумму в 400 тысяч рублей или примерно 2 айфона 17. Как-то не очень внушает, так что ставки были явно выше. А вот если мы возьмем голосование через учетки Госуслуг, то стоимость возрастает уже как минимум до 15 миллионов рублей. Если голоса накрутили обе стороны, то это уже как минимум 30 миллионов. И это мы еще идем по низу рынка и предполагаем, что накручено было лишь 10% голосов. Добавим сюда явно имевшие место накрутки через другие варианты голосования (пока они были доступны), и мы получим сумму, которая тянет на 1-2 миллиона долларов.

И снова рубрика «смешной фишинг» Очередной развод под видом выплат участникам СВО и их семьям. Их стабильно много, и я бы не обратил на него внимание, если бы не отзывы клиентов. В целом на сайте все стабильно: левые адреса (Пресненская набережная, 12 – это башня «Федерация» в Москва-Сити, без указания офиса), телефоны, политика конфиденциальности, ведущая в никуда. Юристы из фотостоков. Но отзывы клиентов – это самое прекрасное. Вот, например, водитель Александр Кузнецов. Судя по фото, Александр имеет звание майора. Водитель-майор? Видимо, очень ответственный транспорт. Но кого-то этот человек на фото напоминает. Ой, так это же Кирилл Лосончуков, заместитель Министра инвестиций, промышленности и науки Московской области… Остальные отзывы не лучше. Это, конечно, в целом смешно, но, к сожалению, подобные сайты успешно работают и находят своих жертв, так что отправляем его на блокировку.

Давненько не было интересного фишинга. А тут вот целый имитатор видеоконфа с Банком России! Суть работы: мошенник дает вам ID комнаты, вы его вводите, ну а дальше вас разводят. Введете неправильный ID, ничего не произойдет, безопасность же! Донесите до всех главную мысль: Банк России (ЦБ) не работает с физлицами. Сообщение от ЦБ в адрес физлица - это развод! Отправляем на блокировку!

Очередные черные юристы. Для меня подобный сайт - это сразу маркер неблагонадежных контрагентов, но если этого мало, то вобьем номер в Яндекс... Что у нас тут? Классический набор: возврат средств от брокера, использование чужого ОГРН, негативные отзывы еще с 2021 года. Но вернемся к текущему сайту. Крайне редко упоминаемый в русском языке термин "агенция" возможно должен вызвать интерес у потенциальной аудитории, но скорее вызывает недоумение. Telegram-канал, указанный на сайте, имеет 14 подписчиков, а информация в нем накидана по принципу: "чтобы хоть что-то было". Кстати, сайт свежий, а канал появился в мае, так что наверняка данный сайт не является единственным. Ну а дальше все как обычно: персональные данные собираем, но согласие не получаем, политику не предоставляем, сведений об операторе, который их обрабатывает, тоже. Ну понятно, юристы же. В партнерах указаны ФСБ, ФНС и военная прокуратура, при этом юристы с опытом работы более 10 лет не могут даже вычитать тезисы на своем сайте. Примечательно, что в коде страницы обнаруживается телефонный номер: +72282281337, беглый поиск по которому позволяет обнаружить еще букет аналогичных сайтов, а также упоминания неких людей. Но тут уже мы вторгаемся на территорию персональных данных, так что дальнейшие выводы позволим делать нашим подписчикам уже самостоятельно.

Сегодня интересный улов. На одном владельце фейковые сайты миграционной службы ДНР и миграционной службы РФ. Dnrmigration[.]ru Днрмиграция[.]рф Fedmigrslujrf[.]ru Если забыть о том, что Федеральной миграционной службы уже давно не существует, в целом данные сайты могут вполне быть опасны для доверчивых людей. От жертвы требуется ввести ФИО, номер телефона, а также данные СНИЛС, паспорта или ИНН. После нажатия на кнопку «Записаться» происходит редирект на уже мертвый сайт лднрмигр[.]рф. Естественно, введенные данные улетают телефонным мошенникам и после записи следует ожидать звонка от «специалиста». А теперь интересности: Указанный на сайте телефон 8 343 216-26-00 – это телефон доверия подразделения по вопросам миграции Свердловской области. Сами сайты представляют собой образец ленивого фишинга и сделаны в конструкторе craftum.io. Собственно, оригинал «федерального» ресурса располагается по адресу: https://je5006.craftum.io/ Ресурсы отправлены на блокировку. UPD: сегодня прям урожай. Обнаружились еще https://migroldnr.ru/ https://migracialdnr.ru/

Новый тренд! Злоумышленники через фишинговый сайт крадут… подпись! Фейковый сайт Росфинмониторинга предлагает ввести персональные данные, после чего оставить в специальном поле подпись курсором мыши. После выполнения квеста жертву просто редиректят на Гугл. Давненько в фишинге не было принципиально что-то нового, так что мимо данного сайта пройти никак не могу. Кстати, все чаще стали появляться фишинговые сайты, которые требуют доступ к камере телефона или веб-камере, так что шторка на камере, к которой я всегда относился скептически, не такая уж плохая идея. Сайт отправлен на блокировку.

В последние годы схема работы фишинговых сайтов в кредитно-финансовой сфере существенно поменялась. Вместо списания какой-то абстрактной суммы с карты через привязанный к фишинговому сайту интернет-эквайринг, оформленный на левую компанию, злоумышленники стараются получить доступ к личному кабинету клиента банка. Это позволяет не только похитить все имеющиеся в распоряжении жертвы деньги, но иногда еще и оформить на нее кредит. Рассмотрим работу типичного фишингового ресурса на примере свежего prime-sbr[.]site. Шаг 1 Привлечь внимание. Розыгрыш 10 миллионов рублей – отличный вариант. Шаг 2 Получить данные, необходимые для входа в ЛК. В данном случае требуется ввести номер карты. Шаг 3. Получить код из СМС для доступа в личный кабинет клиента банка. Судя по времени реакции на код, здесь используется классическая схема с возомнившим себя хакером биороботом, которому через Telegram-бота прилетает сперва номер карты, а потом код из СМС, и который вручную вбивает все это на официальном сайте банка. Очень популярная нынче схема, которая доказывает, что пока еще не все поддается автоматизации. Выводы: Подобные сайты являются крайне опасными, но защититься от такого рода атак не составляет особого труда. Достаточно прокачать навыки «Внимательность» и «Осторожность». В СМС-сообщении из банка прямым текстом указано, что код используется для входа в личный кабинет клиента банка. Ну и конечно стоит соблюдать базовые правила цифровой гигиены, например, научиться отличать фейковый домен от настоящего. И самая главная рекомендация – не торопиться. Выдохните. 10 миллионов – это, конечно, хорошо, но попробуйте оценить все возможные риски перед тем, как ввести данные своей карты и тем более код из СМС. Не бойтесь обратиться на горячую линию банка за разъяснениями. А если вы совсем гик, то можете залезть в исходный код. Смешных комментариев про мамонтов тут нет, зато видно, что все логотипы лежат на imgur.com – очень удобно, фишинговые сайты умирают, а картинки хранятся вечно. Вот и этому сайту пришло время уйти в небытие – он был отправлен на блокировку и успешно заблокирован.

Все больше фишинговых сайтов использует различные механизмы защиты от обнаружения. Даже сайты фейковых инвестплатформ, неотрывно связанные с телефонными мошенниками, стали применять географическое таргетирование. И вот пример: свежий сайт, нацеленный на белорусскую аудиторию, https://belarusneft[.]com. Если вы откроете его с белорусского IP-адреса, то будете автоматически перенаправлены на ресурс https://multitudinousness[.]shop/W/belorusneft, на котором висит целый букет шаблонов под различного рода фишинг, и вам откроется типичный фейковый инвестиционный сайт. Кстати, если в адресной строке оставить один лишь домен, вас встретит картинка с веселым баклажаном! Ну а если ваш адрес не относится к Республике Беларусь, то вам откроется клон сайта БПИФ «Доходъ», оригинал которого находится по адресу https://www.dohod[.]ru. Причем клон (пока) совершенно безобидный – просто ширма. Ситуация чем-то напоминает много раз описанную нами схему «Хамелеон», только в данном случае все выполнено намного проще, без заморочек с тремя доменами, айфреймами и так далее.

Каждый раз, когда я думаю, что удивить меня сложно, жизнь подкидывает новые сюрпризы. Встречайте: фейковый сайт несуществующей государственной программы «Банк спермы – роди ребенка от героя»… Шаблон сайта примерно скопирован с официального ресурса Минздрава. Сам сайт пока используется только для сбора персональных данных. Отдельно хочется отметить довольно качественно сделанный скан приказа Минздрава. На фоне корявых подделок, которые используют телефонные мошенники в схеме Fake Boss – это прямо шаг вперед. Впрочем, и здесь есть косяки – приказ от 4 января? Вы серьезно? Вся страна гуляет, а Минздрав решает создать банк репродуктивного материала? Это еще и суббота, кстати. Да еще и с номером 649Н, видимо предыдущие 3 дня 2025 года выдались особо жаркими на приказы. А зарегистрирован приказ только 21 января, причем под номером 76537. Можно лишь посочувствовать сотрудникам подразделений документооборота. Все это конечно выглядит забавно, только вот владельцу ресурса принадлежит целая сеть сайтов, предназначенных для взлома Telegram-аккаунтов, так что можно предположить, что и репродуктивный сайт в итоге будет использоваться для этой же цели.

Время веселых историй. Мошенники, активно создающие фишинговые сайты под известный маркетплейс, не заморачиваясь подняли прямо на своей инфраструктуре сайт, предлагающий вернуть деньги всем людям, которые пострадали от действий мошенников. Для этого они откопали скелет мамонта в виде шаблона фишингового сайта по возврату средств, украденного в 2020 году у других мошенников, которые запилили его году эдак в 2019, оставив при этом информацию о том, что «они работают уже целых 8 лет, а запустили проект в 2011». Древний шаблон таит в себе и иные артефакты. Так, например, видеочат с оператором предлагается вести с использованием Adobe Flash плагина, который остался в пыльных закоулках истории уже много лет назад. А Россия в русскоязычном тексте написана как «Россiя». Вот прям сразу и не догадаешься, в какой стране находятся мошенники. Вывод денег осуществляется на карты дропов через нелегальную платежку, обслуживающую скам-проекты и онлайн-казино. При этом сама схема неотрывно связана с телефонными мошенниками. Жертва вводит на сайте свой номер телефона для поиска начислений, оплачивает «комиссию», а после её ждет увлекательная телефонная беседа с сотрудником колл-центра. Но это уже совсем другая история. Казалось бы, криворукие мошенники со старым кривым сайтом… кому это интересно? Но все не так просто, и данная история оставляет грустный осадок: все эти артефакты и ошибки на сайте не исправляются по одной причине – схема прекрасно работает и так. Никто не замечает эти ошибки. Именно поэтому и следует развивать финансовую и компьютерную грамотность и информировать о новых или старых хорошо работающих уловках. Помните и расскажите своим близким: НИ ОДНА ОРГАНИЗАЦИЯ НЕ ВЕРНЕТ ВАМ ДЕНЬГИ, КОТОРЫЕ ПОХИТИЛИ НЕУСТАНОВЛЕННЫЕ МОШЕННИКИ.

Верим?

Сегодня прямо день юмора на канале. Какой подарок выбрали бы вы? Я бы отказался от участия в таком конкурсе. Но самое интересное – это то, куда ведут ссылки. Нажав на кнопку, вы попадете на сайт kindsaracen.com, где в зависимости от вашего выбора по сложной ссылке вам откроется та или иная страница, которая будет выдавать себя за какой-то ресурс. Так, Екатерина Андреева расскажет, как восстановить зрение, а если вы выберете в качестве подарка алкогольную зависимость, то вам откроется фейковая страница «Соловьев LIVE», которая поведает о том, как доктор Мясников помог Григорию Лепсу. Рекомендую обратить внимание на примеры «До» и «После». На последнем фото можно видеть, как после приема препарата «Трезвин» помятый Варламов возвращается в Россию и превращается в типичного обитателя Патриков, открывшего свой бизнес и зарабатывающего миллионы, работая всего полчаса в день.

Какой только трэш не найдешь в процессе мониторинга фишинга. Всем отличной недели и хорошего настроения. Да прибудет с вами Крыша!

Польша была одной из первых стран, в сторону которых произошел экспорт мошеннических схем с инвестплатформами и маркетплейсами. Впервые мы такое заметили года 4 назад. Но тогда все было цивильно и на польском языке. Где-то даже есть коллекция сохраненных скриншотов. И вот теперь пошла волна сайтов на русском языке, которые предлагают присоединиться к платформе микроинвестиций для поддержки Европы. Похоже, что акцент мошенников смещается в сторону русскоязычных иммигрантов. Впрочем, по итогу вам позвонит сотрудник того же колл-центра, что обрабатывает российских бабушек и дедушек.

Неожиданные открытия!

Будьте аккуратнее с 7z-архивами. Уязвимость CVE-2024-11477 - RCE в 7z-архивах позволяет захватить ваш комп путем удаленного исполнения вредоносного кода. У 7-ZIP уже готов патч, но установить его необходимо вручную. Начиная с версии 24.07 уязвимость устранена, последняя актуальная версия – 24.8.

Чтение комментариев в коде фишинговых китов - одно из любимых занятий. Когда-нибудь опубликую дайджест самых смешных находок.