in2security

27 October 2025 10:07

Вот уже несколько лет фишинг с голосованиями держит свои позиции и даже развивается. Зачем угонять один лишь Telegram, если можно сразу угнать еще и аккаунт в VK?

in2security

17 October 2025 13:51

Вы слышали про ассоциацию международных почтовых провайдеров? Я – нет. Если у меня есть домен и почтовый сервер, являюсь ли я сам международным почтовым провайдером?

На самом деле это классический пример древнейшей скам-схемы. Почему-то именно сейчас ожили динозавры и подобных примеров весьма много. Буду писать о самых любопытных образцах ископаемого скама.

P.S. Кстати, обратите внимание на то, как сплющилась по горизонтали техника Apple. Хочу квадратный iMac!

in2security

10 October 2025 11:30

И снова рубрика «смешной фишинг»

Очередной развод под видом выплат участникам СВО и их семьям. Их стабильно много, и я бы не обратил на него внимание, если бы не отзывы клиентов.

В целом на сайте все стабильно: левые адреса (Пресненская набережная, 12 – это башня «Федерация» в Москва-Сити, без указания офиса), телефоны, политика конфиденциальности, ведущая в никуда. Юристы из фотостоков.

Но отзывы клиентов – это самое прекрасное. Вот, например, водитель Александр Кузнецов. Судя по фото, Александр имеет звание майора. Водитель-майор? Видимо, очень ответственный транспорт. Но кого-то этот человек на фото напоминает. Ой, так это же Кирилл Лосончуков, заместитель Министра инвестиций, промышленности и науки Московской области… Остальные отзывы не лучше.

Это, конечно, в целом смешно, но, к сожалению, подобные сайты успешно работают и находят своих жертв, так что отправляем его на блокировку.

in2security

23 September 2025 15:45

Очередные черные юристы. Для меня подобный сайт - это сразу маркер неблагонадежных контрагентов, но если этого мало, то вобьем номер в Яндекс...

Что у нас тут?

Классический набор: возврат средств от брокера, использование чужого ОГРН, негативные отзывы еще с 2021 года.

Но вернемся к текущему сайту. Крайне редко упоминаемый в русском языке термин "агенция" возможно должен вызвать интерес у потенциальной аудитории, но скорее вызывает недоумение. Telegram-канал, указанный на сайте, имеет 14 подписчиков, а информация в нем накидана по принципу: "чтобы хоть что-то было". Кстати, сайт свежий, а канал появился в мае, так что наверняка данный сайт не является единственным.

Ну а дальше все как обычно: персональные данные собираем, но согласие не получаем, политику не предоставляем, сведений об операторе, который их обрабатывает, тоже. Ну понятно, юристы же. В партнерах указаны ФСБ, ФНС и военная прокуратура, при этом юристы с опытом работы более 10 лет не могут даже вычитать тезисы на своем сайте.

Примечательно, что в коде страницы обнаруживается телефонный номер: +72282281337, беглый поиск по которому позволяет обнаружить еще букет аналогичных сайтов, а также упоминания неких людей. Но тут уже мы вторгаемся на территорию персональных данных, так что дальнейшие выводы позволим делать нашим подписчикам уже самостоятельно.

in2security

06 June 2025 10:36

Новый тренд! Злоумышленники через фишинговый сайт крадут… подпись!

Фейковый сайт Росфинмониторинга предлагает ввести персональные данные, после чего оставить в специальном поле подпись курсором мыши. После выполнения квеста жертву просто редиректят на Гугл.

Давненько в фишинге не было принципиально что-то нового, так что мимо данного сайта пройти никак не могу. Кстати, все чаще стали появляться фишинговые сайты, которые требуют доступ к камере телефона или веб-камере, так что шторка на камере, к которой я всегда относился скептически, не такая уж плохая идея.

Сайт отправлен на блокировку.

in2security

17 February 2025 10:27

Все больше фишинговых сайтов использует различные механизмы защиты от обнаружения. Даже сайты фейковых инвестплатформ, неотрывно связанные с телефонными мошенниками, стали применять географическое таргетирование.

И вот пример: свежий сайт, нацеленный на белорусскую аудиторию, https://belarusneft[.]com. Если вы откроете его с белорусского IP-адреса, то будете автоматически перенаправлены на ресурс https://multitudinousness[.]shop/W/belorusneft, на котором висит целый букет шаблонов под различного рода фишинг, и вам откроется типичный фейковый инвестиционный сайт. Кстати, если в адресной строке оставить один лишь домен, вас встретит картинка с веселым баклажаном!

Ну а если ваш адрес не относится к Республике Беларусь, то вам откроется клон сайта БПИФ «Доходъ», оригинал которого находится по адресу https://www.dohod[.]ru. Причем клон (пока) совершенно безобидный – просто ширма.

Ситуация чем-то напоминает много раз описанную нами схему «Хамелеон», только в данном случае все выполнено намного проще, без заморочек с тремя доменами, айфреймами и так далее.

in2security

28 January 2025 09:33

Время веселых историй. Мошенники, активно создающие фишинговые сайты под известный маркетплейс, не заморачиваясь подняли прямо на своей инфраструктуре сайт, предлагающий вернуть деньги всем людям, которые пострадали от действий мошенников.

Для этого они откопали скелет мамонта в виде шаблона фишингового сайта по возврату средств, украденного в 2020 году у других мошенников, которые запилили его году эдак в 2019, оставив при этом информацию о том, что «они работают уже целых 8 лет, а запустили проект в 2011».

Древний шаблон таит в себе и иные артефакты. Так, например, видеочат с оператором предлагается вести с использованием Adobe Flash плагина, который остался в пыльных закоулках истории уже много лет назад. А Россия в русскоязычном тексте написана как «Россiя». Вот прям сразу и не догадаешься, в какой стране находятся мошенники.

Вывод денег осуществляется на карты дропов через нелегальную платежку, обслуживающую скам-проекты и онлайн-казино. При этом сама схема неотрывно связана с телефонными мошенниками. Жертва вводит на сайте свой номер телефона для поиска начислений, оплачивает «комиссию», а после её ждет увлекательная телефонная беседа с сотрудником колл-центра. Но это уже совсем другая история.

Казалось бы, криворукие мошенники со старым кривым сайтом… кому это интересно? Но все не так просто, и данная история оставляет грустный осадок: все эти артефакты и ошибки на сайте не исправляются по одной причине – схема прекрасно работает и так. Никто не замечает эти ошибки.

Именно поэтому и следует развивать финансовую и компьютерную грамотность и информировать о новых или старых хорошо работающих уловках. Помните и расскажите своим близким: НИ ОДНА ОРГАНИЗАЦИЯ НЕ ВЕРНЕТ ВАМ ДЕНЬГИ, КОТОРЫЕ ПОХИТИЛИ НЕУСТАНОВЛЕННЫЕ МОШЕННИКИ.

in2security

09 December 2024 08:24

Какой только трэш не найдешь в процессе мониторинга фишинга. Всем отличной недели и хорошего настроения. Да прибудет с вами Крыша!

in2security

05 December 2024 19:44

Неожиданные открытия!

in2security

25 November 2024 19:10

Чтение комментариев в коде фишинговых китов - одно из любимых занятий. Когда-нибудь опубликую дайджест самых смешных находок.

in2security

22 November 2024 11:24

Согласно заявлениям Илона Маска, Tesla Bot поступит в продажу в конце 2025 года, то есть через год. Но в рунете уже появляются сайты, предлагающие оформить заказ на человекоподобного робота.

Естественно, никаких данных владельцев сайта вы не найдете. Единственная зацепка – телефон, но, если верить Яндексу, он принадлежит установщикам систем видеонаблюдения из Москвы.

К слову, владельцу данного сайта действительно принадлежат домены, связанные с видеонаблюдением, например https://roscamera.ru/. Только вот этот сайт порождает еще больше вопросов: ни слова об организации, фиктивная политика конфиденциальности и обработки персональных данных. Возникают резонные сомнения, что компании, которые вы можете видеть на скриншоте, доверили установку камер такому ноунейму.

А еще ему принадлежит целый букет сайтов по продаже квартир в элитных ЖК, только вот эти сайты не имеют никакого отношения к девелоперским компаниям. Такой вот разноплановый человек.

К сожалению, современная практика такова, что бороться с подобными ресурсами крайне сложно (хотя и возможно).

in2security

29 October 2024 09:30

Телефонные мошенники стали представляться сотрудниками Почты России

Суть схемы проста. Вам поступает звонок якобы от сотрудника Почты России, в котором говорится о том, что на ваше имя поступило заказное письмо, но адрес указан неверно, поэтому оно томится в сортировочном центре. В качестве отправителя письма указана Налоговая служба. Естественно, письмо из налоговой должно взбудоражить потенциальную жертву, поэтому, когда для уточнения адреса и актуализации данных потребуется продиктовать код из СМС, человек с радостью сообщит его. И потеряет доступ в свой аккаунт на портале Госуслуг со вполне прогнозируемыми последствиями.

Меня постоянно спрашивают: что делать, если вам позвонили мошенники от имени какой-либо организации. Ответ всегда один: абонент на той стороне провода – просто голос из трубки. Не доверяйте входящим звонкам, не сообщайте никакую конфиденциальную информацию, и уж тем более пароли и коды из СМС. Хотите пообщаться с почтой, банком, госуслугами, МВД, ФСБ, ФНС и прочими организациями, обратитесь в них самостоятельно. А в ответ на сообщение о заказном письме просто скажите: «Спасибо, прощайте...»

in2security

25 October 2024 12:03

Неважно что у тебя: день рождения или именины, всегда найдется какой-нибудь банк, который тебя поздравит. Вечная классика скама на канале In2security на примере двух свежих сайтов.

Кстати, а вы знаете, когда у вас именины?

in2security

17 October 2024 12:38

Ленивый фишинг. А почему бы не заменить логотип Госуслуг на существующем уже несколько лет шаблоне на Росбанк? Увеличим сумму с 3 до 6 тысяч за опрос и сработает!..

Ну сработает же?

P.S. Знала ли эта девушка с копилкой с фотостока, что станет маскотом одной из самых масштабных фишинговых атак?

in2security

14 October 2024 18:11

Сложно перечислить все бренды, которые использовали украинские телефонные мошенники, действующие от имени несуществующих инвестиционных платформ. Компании нефтегазовой отрасли, банки, Илон Маск с Теслой и Space-X… Была и экспансия подобных сайтов в Европу и в Среднюю Азию, о чем мы неоднократно писали. И, казалось бы, чем можно удивить? А вот, ловите: инвестиции с Google.

Все тот же шаблон, меняется лишь текст и фоновая картинка или видео, все та же суть: отправьте нам свои контактные данные и с вами свяжется наш болванчик, который погрузит вас в мир инвестиций. Удивительно, насколько стабильно рабочей является данная схема. При неизменной сути она существует уже более 5 лет, обрастая всевозможными форками.

Впрочем, если попросить мошенников назвать ИНН и перечислить виды деятельности организации, они как правило быстро сливаются или начинают говорить, что ИНН – это конфиденциальная информация. Интересно, какой ИНН у компании Google Finance?

in2security

22 October 2025 18:49

Мошеннические схемы меняются очень редко. В основном меняются информационные подводки, призванные заинтересовать жертву, или какие-то служебные звенья цепочки.

Вот отличный пример сайта, используемого телефонными мошенниками. Одно время массово использовались ресурсы, на которых можно было ввести «номер жетона» или что-то подобное, а теперь просят ввести номер-код дела. Все для того, чтобы нагнать жути и создать иллюзию серьезности ситуации.

Суть схемы от этого не меняется, но аудитория потенциальных жертв расширяется, равно как и вариативность сценариев в рамках этой самой схемы.

in2security

15 October 2025 17:05

Вчера должна была завершиться наделавшая много шума битва между горой и небоскребами за право присутствовать на 500-рублевой купюре. Однако, голосование в итоге отменили, а сама история очень хорошо показала, что, если голосование резонансное и привлекает внимание общественности, политиков и блогеров-миллионников, дело не обойдется без махинаций.

Вообще история с накруткой голосов отнюдь не нова. Особенно часто в последние годы информация о накрутках всплывала в контексте песенных шоу. Так, в 2019 году разразился скандал на шоу «Голос.Дети», по итогам которого результаты финального голосования были отменены. В 2020 году похожий скандал произошел уже в процессе отбора на «Детское Евровидение». И это лишь пара примеров, на самом деле подобные скандалы происходят с завидной регулярностью, а услуги по накрутке голосов давно закрепились на теневом рынке и пользуются большим спросом, тем более что за редкими оговорками схема является «серой», а не «черной» и не несет особых рисков для заказчиков или исполнителей.

Давайте повнимательнее взглянем на рынок накрутки и посмотрим, как это устроено. Накрутка делится на два больших сегмента: накрутка подписчиков и накрутка голосов. Первый сегмент куда более массовый и активно используется в SEO, второй – более нишевый, но тоже популярный. Есть еще и третий сегмент – накрутка отзывов на маркетплейсах и доска объявлений, но сейчас не об этом.

Вне зависимости от того, что конкретно накручивают, существует две опции: накрутка ботами и накрутка живыми людьми. Первое – более дешевый и массовый вариант, второе – более надежный и продвинутый в плане обхода защиты, но и более дорогой.

Основной площадкой по продаже голосов конечно же является Telegram, впрочем, существует и немало сайтов, на которых предлагают такого рода услуги. Стоит отметить, что как минимум 40% подобных объявлений являются откровенным скамом, а фейковые накруточные сайты появляются с завидной регулярностью.

Так сколько же стоит накрутка голосов? Самые дешевые варианты накрутки подписчиков обойдутся чуть более 1 рубля за голос. Но это боты, которые не пройдут капчу или многоступенчатые формы. Накрутка в несколько нажатий или с обходом капчи обойдется уже от 4 рублей за голос. Если требуется пройти подтверждение по СМС, стоимость возрастает кратно: 15-30 рублей за один голос.

Стоимость накрутки с использованием живых людей обойдется уже в сумму от 7 рублей за голос, а если требуются дополнительные подтверждения, то сумма вырастет уже до 20-45 рублей. При этом надо понимать, что если ботов сотни тысяч, то количество живых людей куда более скромное. Большинство сервисов может обеспечить от пары тысяч до пятидесяти тысяч живых голосов. Если нужно больше, стоимость увеличивается. Накрутка с использованием аккаунтов Госуслуг – это уже от 150 рублей за голос.

А далее простая математика. Два лидера голосования набрали более чем миллион голосов на момент, когда конкурс был остановлен. Изначально голосование осуществлялось через разные платформы, но в итоге его ограничили Порталом государственных услуг. Но ведь ничего не запрещает мне взять деньги и проголосовать за того, кого мне укажут? Это же не государственные выборы? Так что поле для накруток осталось и тут.

Допустим, что накручено было всего 10% голосов. Варианты за 1 рубль не пройдут, поэтому возьмем как отправную точку 4 рубля. Получаем сумму в 400 тысяч рублей или примерно 2 айфона 17. Как-то не очень внушает, так что ставки были явно выше. А вот если мы возьмем голосование через учетки Госуслуг, то стоимость возрастает уже как минимум до 15 миллионов рублей. Если голоса накрутили обе стороны, то это уже как минимум 30 миллионов.

И это мы еще идем по низу рынка и предполагаем, что накручено было лишь 10% голосов. Добавим сюда явно имевшие место накрутки через другие варианты голосования (пока они были доступны), и мы получим сумму, которая тянет на 1-2 миллиона долларов.

in2security

07 October 2025 13:55

Давненько не было интересного фишинга. А тут вот целый имитатор видеоконфа с Банком России!

Суть работы: мошенник дает вам ID комнаты, вы его вводите, ну а дальше вас разводят. Введете неправильный ID, ничего не произойдет, безопасность же!

Отправляем на блокировку!

in2security

18 June 2025 10:04

Сегодня интересный улов. На одном владельце фейковые сайты миграционной службы ДНР и миграционной службы РФ.
Dnrmigration[.]ru
Днрмиграция[.]рф
Fedmigrslujrf[.]ru

Если забыть о том, что Федеральной миграционной службы уже давно не существует, в целом данные сайты могут вполне быть опасны для доверчивых людей. От жертвы требуется ввести ФИО, номер телефона, а также данные СНИЛС, паспорта или ИНН. После нажатия на кнопку «Записаться» происходит редирект на уже мертвый сайт лднрмигр[.]рф.

Естественно, введенные данные улетают телефонным мошенникам и после записи следует ожидать звонка от «специалиста».

А теперь интересности:

Указанный на сайте телефон 8 343 216-26-00 – это телефон доверия подразделения по вопросам миграции Свердловской области.

Сами сайты представляют собой образец ленивого фишинга и сделаны в конструкторе craftum.io. Собственно, оригинал «федерального» ресурса располагается по адресу: https://je5006.craftum.io/

Ресурсы отправлены на блокировку.

in2security

24 March 2025 08:27

В последние годы схема работы фишинговых сайтов в кредитно-финансовой сфере существенно поменялась. Вместо списания какой-то абстрактной суммы с карты через привязанный к фишинговому сайту интернет-эквайринг, оформленный на левую компанию, злоумышленники стараются получить доступ к личному кабинету клиента банка. Это позволяет не только похитить все имеющиеся в распоряжении жертвы деньги, но иногда еще и оформить на нее кредит.

Рассмотрим работу типичного фишингового ресурса на примере свежего prime-sbr[.]site.

Шаг 1
Привлечь внимание. Розыгрыш 10 миллионов рублей – отличный вариант.

Шаг 2
Получить данные, необходимые для входа в ЛК. В данном случае требуется ввести номер карты.

Шаг 3.
Получить код из СМС для доступа в личный кабинет клиента банка.

Судя по времени реакции на код, здесь используется классическая схема с возомнившим себя хакером биороботом, которому через Telegram-бота прилетает сперва номер карты, а потом код из СМС, и который вручную вбивает все это на официальном сайте банка. Очень популярная нынче схема, которая доказывает, что пока еще не все поддается автоматизации.

Выводы:
Подобные сайты являются крайне опасными, но защититься от такого рода атак не составляет особого труда. Достаточно прокачать навыки «Внимательность» и «Осторожность». В СМС-сообщении из банка прямым текстом указано, что код используется для входа в личный кабинет клиента банка.

Ну и конечно стоит соблюдать базовые правила цифровой гигиены, например, научиться отличать фейковый домен от настоящего. И самая главная рекомендация – не торопиться. Выдохните. 10 миллионов – это, конечно, хорошо, но попробуйте оценить все возможные риски перед тем, как ввести данные своей карты и тем более код из СМС. Не бойтесь обратиться на горячую линию банка за разъяснениями.

А если вы совсем гик, то можете залезть в исходный код. Смешных комментариев про мамонтов тут нет, зато видно, что все логотипы лежат на imgur.com – очень удобно, фишинговые сайты умирают, а картинки хранятся вечно. Вот и этому сайту пришло время уйти в небытие – он был отправлен на блокировку и успешно заблокирован.

in2security

11 February 2025 08:21

Каждый раз, когда я думаю, что удивить меня сложно, жизнь подкидывает новые сюрпризы.

Встречайте: фейковый сайт несуществующей государственной программы «Банк спермы – роди ребенка от героя»…

Шаблон сайта примерно скопирован с официального ресурса Минздрава. Сам сайт пока используется только для сбора персональных данных.

Отдельно хочется отметить довольно качественно сделанный скан приказа Минздрава. На фоне корявых подделок, которые используют телефонные мошенники в схеме Fake Boss – это прямо шаг вперед. Впрочем, и здесь есть косяки – приказ от 4 января? Вы серьезно? Вся страна гуляет, а Минздрав решает создать банк репродуктивного материала? Это еще и суббота, кстати. Да еще и с номером 649Н, видимо предыдущие 3 дня 2025 года выдались особо жаркими на приказы. А зарегистрирован приказ только 21 января, причем под номером 76537. Можно лишь посочувствовать сотрудникам подразделений документооборота.

Все это конечно выглядит забавно, только вот владельцу ресурса принадлежит целая сеть сайтов, предназначенных для взлома Telegram-аккаунтов, так что можно предположить, что и репродуктивный сайт в итоге будет использоваться для этой же цели.

in2security

09 December 2024 17:03

Сегодня прямо день юмора на канале. Какой подарок выбрали бы вы? Я бы отказался от участия в таком конкурсе.

Но самое интересное – это то, куда ведут ссылки. Нажав на кнопку, вы попадете на сайт kindsaracen.com, где в зависимости от вашего выбора по сложной ссылке вам откроется та или иная страница, которая будет выдавать себя за какой-то ресурс.

Так, Екатерина Андреева расскажет, как восстановить зрение, а если вы выберете в качестве подарка алкогольную зависимость, то вам откроется фейковая страница «Соловьев LIVE», которая поведает о том, как доктор Мясников помог Григорию Лепсу.

Рекомендую обратить внимание на примеры «До» и «После». На последнем фото можно видеть, как после приема препарата «Трезвин» помятый Варламов возвращается в Россию и превращается в типичного обитателя Патриков, открывшего свой бизнес и зарабатывающего миллионы, работая всего полчаса в день.

in2security

06 December 2024 09:08

Польша была одной из первых стран, в сторону которых произошел экспорт мошеннических схем с инвестплатформами и маркетплейсами. Впервые мы такое заметили года 4 назад. Но тогда все было цивильно и на польском языке. Где-то даже есть коллекция сохраненных скриншотов.

И вот теперь пошла волна сайтов на русском языке, которые предлагают присоединиться к платформе микроинвестиций для поддержки Европы. Похоже, что акцент мошенников смещается в сторону русскоязычных иммигрантов.

Впрочем, по итогу вам позвонит сотрудник того же колл-центра, что обрабатывает российских бабушек и дедушек.

in2security

26 November 2024 16:18

Будьте аккуратнее с 7z-архивами. Уязвимость CVE-2024-11477 - RCE в 7z-архивах позволяет захватить ваш комп путем удаленного исполнения вредоносного кода.

У 7-ZIP уже готов патч, но установить его необходимо вручную. Начиная с версии 24.07 уязвимость устранена, последняя актуальная версия – 24.8.

in2security

22 November 2024 11:29

Когда оформил предзаказ на Тесла бота на левом сайте...

Автор картины - Вася Ложкин.

in2security

11 November 2024 17:02

Раньше для того, чтобы попробовать взломать мой Telegram мне присылали ссылки на голосование за каких-то знакомых людей или хотя бы творчество их детей. А тут меня без моего ведома добавляют в группу, в которой просят проголосовать за некую Дарину, которую я знать не знаю. Пришлось гуглить. Да, есть такая певица, но я точно не являюсь ее целевой аудиторией.

Ну да ладно, схема хоть и не новая, но все равно интересная. Самое прикольное в ней то, что в чате, в который добавляют жертв, сидят боты, которые радостно пишут о том, что они поддержали Дариночку. Мол, ты следующий, давай, голосуй!

В чате действует жесткая модерация, любые "неправильные" сообщения мгновенно трутся, а их авторы нещадно выгоняются из сообщества любителей Дарины.

Ну а далее все стандартно: авторизуетесь через Telegram и вот вы уже не хозяин своей учетной записи. Данная схема максимально автоматизирована, фишинговые сайты связаны со специализированными платформами, позволяющими управлять фишинговой кампанией, и бизнес этот весьма выгоден. Вообще в последние 2 года этот сценарий фишинга приобрел просто невероятные масштабы.

В данном конкретном случае использовались 2 фишинговых сайта: stars-fun[.]ru и progress-stars[.]ru, которые уже отправлены на блокировку. В этот раз Дарина останется без голоса.

in2security

28 October 2024 10:03

Один из популярных в узких кругах OSINT-каналов, запустил сегодня в 10.38 любопытное соревнование.

На канале был выложен SQL файл, содержащий ссылку на Yandex-диск с 404 архивами ранее не опубликованных баз, полученных методом web-root. Согласно описанию, имя SQL-файла входило в ТОП 200 вариантов брута. Через 7 дней ссылку обещают сделать публичной.

Но зачем ждать 7 дней, если можно забрутить за 20 минут! Как итог, статистика по утечкам за год пополнится 404 новыми инцидентами. Общий объем архивов имеет размер 3 гигабайта. В архивах представлены самые разные сайты, в основном относящиеся к малому бизнесу.

in2security

22 October 2024 15:07

В последние 2 года взлом Telegram – это прямо один из ключевых трендов. Каких только легенд, почему жертве следует пройти авторизацию, не было за последнее время. Если честно, я даже устал об этом писать. Ну неинтересно.

Но тут забавный пример. Вроде и схема привычная: «кто-то получил доступ к вашему аккаунту», но сайт gosuslugichildrens[.]online (на слове childrens моя учительница английского бы выпила валерьянки) сверстан так, что в некоторых мобильных браузерах выглядит прям как страница с оповещением на весь экран. К тому же код HTML страницы содержит довольно подробные комментарии, что позволяет говорить о том, что это не единичная история, а готовый фишинговый кит, который продается.

Вполне в духе нашего времени в процессе взлома аккаунта задействуется 3 различных сайта: первый выдает начальное предупреждение, второй (tgme-system[.]online/verif) сообщает о том, кто якобы пытался войти в аккаунт. В моем случае очень иронично то, что указан телефон Samsung Galaxy Note10+, с которого я действительно могу заходить в свою учетку, но не из Киева, конечно. Кстати, Киев тоже выбран неслучайно, вряд ли российский пользователь в нынешних условиях залогинится в свою учетную запись из столицы Украины, а если не он, то… украинские хакеры! Нагоняют жути, в общем.

Код этой страницы тоже прекрасно прокомментирован в расчете на широкую аудиторию. Ну а дальше – еще один редирект, теперь на tgme-system[.]pro/verif-***********, на котором уже висит сама фейковая форма входа. Ну а дальше все стандартно.

Берегите себя и свои учетки в Telegram. В последнее время наметился тренд, когда злоумышленники не просто пытаются одолжить деньги у друзей жертвы, но и выкачивают переписки, ищут информацию интимного или компрометирующего характера и либо шантажируют человека, либо продают ее на соответствующих площадках.

in2security

15 October 2024 12:14

Тематика Мелстроя не дает покоя мошенникам. Снова фиксируем эпидемию сайтов с коробочками, действующими от имени популярного трэш-стримера. Только теперь все чаще используются домены третьего и четвертого уровней в сочетании с уникальными идентификаторами.

Живой (пока) пример: https://mjkq[.]asikpoz[.]shop/mell/?clickID=ewJ7PGRCMgL55sW/

Как вы понимаете, искать такие ресурсы весьма непросто, но тем не менее мы научились.

Удивительно, что схема с коробочками работает уже более 5 лет практически без изменений. Меняется лишь целевая аудитория, на которую ориентированы такие сайты. Поделитесь в комментариях идеями, каков портрет типичного поклонника стримов Мелстроя, на которых рассчитывают мошенники!

in2security

09 October 2024 09:40

Очередной фишинговый сайт с биороботом, который за вас зайдет в ваш личный кабинет, а вы пришлете ему код из СМС. Вроде бы скукота, но не совсем.

Во-первых, вредоносный контент доступен только по конкретному URL, если вы введете в браузере имя домена, то получите просто заглушку от браузер (популярная в последние годы история).

Во-вторых, даже в URL-е название банка искажено, причем так, что это не тянет на тайпсквоттинг.

В-третьих, само имя домена строится по схеме, которую используют злоумышленники, промышляющие под видом госуслуг (расширяют горизонты!).

В-четвертых, налицо бескомпромиссность: вне зависимости от того, выберете ли вы прохождение опроса или отказ от бонуса, вам откроется опрос...

Ну а в остальном вполне обычный скучный фишинговый сайт для кражи доступа в личный кабинет банка. Из примечательного разве что отсутствие возможности вводить что-либо кроме букв в поле ответа на вопросы. Ну и правильно, долой эту мерзкую пунктуацию. Код для авторизации поступит в течение 5 минут. Это время нужно для того, чтобы биоробот вышел из анабиоза и успел залогиниться в личном кабинете жертвы.