in2security

В продолжение предыдущего поста. Там мы видели фейковый сайт УФСБ, созданный якобы в рамках образовательного проекта. А вот созданный в это же время фейковый сайт Росфинмониторинга, который эксплуатируют телефонные мошенники. А вот фейковый сайт Управления по вопросам миграции МВД России. В текущих условиях не стоит создавать ресурсы, эксплуатирующие реальные наименования или аббревиатуры госорганов, а тем более силовых структур. Это далеко не первый случай, который мы фиксируем, но тем не менее. Хотите научить людей защищаться от фишинга, придумайте что-то нейтральное.

Интересно, Федеральная служба безопасности оценит тот факт, что «Данный портал создан исключительно в образовательных целях для РП проекта»? Любое совпадение с реальными организациями случайно. С чем, интересно, может еще совпасть аббревиатура УФСБ? А если серьезно, не делайте подобные сайты для своих пусть даже образовательных проектов. У государства, тем более у силовых структур, нет чувства юмора. И это нормально.

Вот вы говорите: санкции, а люди, создающие фишинговые сайты, о них и не слышали.   Смотрите, какой красивый пример. На фишинговом сайте сочетаются Госуслуги, Минцифры и некое мифическое ООО Win Garage из Нидерландов, которое, согласно данным сайта, является официальным технологическим партнером проекта. Я такое даже в 2012 году-то вряд ли мог представить.   Ну и конечно же информационное взаимодействие с фишинговым сайтом осуществляется по защищенным каналам связи в соответствии с требованиями Федерального закона № 152-ФЗ «О персональных данных» и стандартов шифрования ГОСТ.   Сертификат Let’s Encrypt у нас теперь по ГОСТу, значит.   Ссылка в футере ведет на реально существующий канал https://t.me/CarsFromEU_CIS, но я сомневаюсь, что он имеет к этому отношение.

Нас часто спрашивают: а почему бы просто не закрыть все околокриминальные даркнет форумы, ведь тогда заживем! Нет, не заживем. На самом деле в глобальном смысле это примерно так же контрпродуктивно, как и пытаться удалять из даркнета утекшие базы. Все это приводит лишь к дроблению площадок и еще более широкому распространению утекшей информации. Впрочем, площадки иногда дробятся и по внутренним причинам, причем каждый повстанец стремится получить профит от раскрученного бренда известного форума. Сегодня рассмотрим такую ситуацию на примере всем известного BreachForums: https://teletype.in/@intosecurity/_bvbF2szdcs Если вам нравится такой формат, пишите об этом в комментариях, рассылайте ссылки друзьям, и мы запустим соответствующую постоянную рубрику на нашем канале. #лонгрид

Хакеры есть? Мы тут для вас реестр нашли. Правда он не работает, но кнопка добавить себя есть. Очень напоминает сайты, которые просили ввести данные банковской карты, чтобы узнать, не счастливая ли она. В общем, записываемся. Кто не записался, тот не настоящий хакер!

Вновь фиксируем фишинговые кампании в формате "подарки от банков" в Telegram. Прекрасное доказательство того, что Telegram работает. Стоп. Вы же и так сейчас читаете это в Telegram... А если серьезно, к нам регулярно приходят с вопросом: куда денутся злоумышленники, когда Telegram заблокируют? Как видите, никуда они пока не деваются, хотя альтернативные платформы тоже осваивают весьма успешно.

Пятница время новостей. Наши друзья запустили бот для сбора информации о фишинговых ресурсах: @aurareportbot. Если вы столкнулись с фишинговой страницей, отправьте ссылку боту. Поможем вместе сделать интернет чище! P.S. Не стесняйтесь репостить это сообщение и расскажите об этом боте всем друзьям, родственникам, коллегам и знакомым! @aurareportbot – ни одно сообщение не останется незамеченным!

А вот очередной фейковый сайт для подписания контракта на СВО. Открываем политику конфиденциальности и видим… ресурс 1wins34-tos[.]top, на котором висит тот же самый сайт, но уже на менее звучном домене.

Представитель вымирающего вида - фишинговый сайт, требующий данные карты, да еще и в RU зоне. Реально ничего не списывает, но данные карты улетают бармалеям.

Сегодня интересный улов в доменах – сразу шесть доменных имен, маскирующихся под домен софта для удаленного доступа, что сразу же выводит уровень потенциальной угрозы практически на самый верх. rudeskrop.ru rudeskto.ru rudestkop.ru rudisktop.ru rudrsktop.ru rudsktop.ru Есть и другие красные флаги, связанные с администратором указанных доменов, так что не теряем бдительность и инструктируем сотрудников!

Однажды Эрнест Хемингуэй поспорил, что сможет написать самый короткий рассказ, способный растрогать любого...

Не, ну конечно скачиваем себе на Андроид непонятную APK-шку под видом мода, заставляющего работать TikTok, с сайта, который появился вчера. Это же очень безопасно. Просто удалите оригинальное приложение тиктока и загрузите вот эту поделку… Нет, так делать ни в коем случае не нужно, даже если вирустотал говорит, что все чисто.

Сегодня проукраинские хакеры заявили о компрометации одного из консультационных агентств, в услуги которого входят регистрация СМИ, лицензирование деятельности по теле и радиовещанию и т.п. Но взломать мало – надо еще не обосраться при публикации своих достижений, и вот с этим все оказалось чуть хуже. На опубликованном скриншоте из своего С2 фреймворка (AdaptixC2), мы видим название процесса агента - agent.bin и PID. Почему так делать не стоит? Да просто подобная публикация позволяет команде аналитиков по расследованию инцидента или криминалистам увидеть, как закрепились на цели хакеры, а также быстрее и легче понять, как произошла компрометация. Скриншот стыдливо удалили, но мы любезно выкладываем его на всеобщее обозрение. Интернет все помнит. Стоит отметить, что в качестве аватара хакерами используется, уже знакомая TI-аналитикам, сова, что может говорить о принадлежности хакеров к государственным структурам одной страны, некогда входившей в состав СССР.

Бессмертная история с продажей дипломов. Удивительно, что кто-то это еще и покупает, польстившись надписью «Гознак» и воодушевившись заявлениями о том, что бланк не числится в списке утерянных и утилизированных. Конечно, продавать шаурму с таким дипломом можно, а вот пройти нормальную проверку в нормальную организацию было почти нереально даже 20 лет назад. Стоит отправить запрос в Рособрнадзор, или проверить его по ФРДО, как гознаковский бланк превратится в тыкву. А можно еще запросить ВУЗ о том, учился ли там такой человек, и даже затребовать экзаменационные листы и данные о том, как человек сдавал сессии.

Криптовымогатели предлагают бесплатную помощь. Чего только не увидишь сейчас в сети. Реверсер предлагает разобрать любой бинарник вне зависимости от его сложности, а заодно и расшифровать инфу, зашифрованную любым вредоносом кроме Vect. Верим?

На популярном дарк-форуме выставили на продажу Open Redirect уязвимость на сайте одной из следующих компаний: Lenovo HP Dell Huawei Samsung По словам продавца, домен не раскрывается до сделки в целях "безопасности". Open Redirect уязвимость позволяет злоумышленникам использовать легитимные ресурсы в фишинговых атаках. При переходе по ссылке на сайт, содержащий такую уязвимость, пользователь может быть автоматически перенаправлен на вредоносный ресурс, контролируемый киберпреступниками. Это повышает доверие к фишинговой ссылке, поскольку изначально она ведёт на известный и легитимный домен. Список компаний весьма солидный, так что последствия инцидента могут быть весьма серьезными. Что ж, понаблюдаем.

Интересные тенденции регистрации доменов в RU-зоне. Вот вчера, например были зарегистрированы домены: .eduaca.ru .eduacb.ru .eduacd.ru .eduacf.ru .eduacg.ru .eduach.ru .eduaci.ru .eduacn.ru .eduacs.ru .eduact.ru .eduacu.ru .eduacw.ru .eduacx.ru .eduacy.ru .eduaza.ru .eduaze.ru .eduazq.ru .eduazs.ru .eduazw.ru .eduazx.ru .eduazz.ru .edubbo.ru .edubcb.ru .edubcl.ru .edubco.ru .edubcr.ru .edubcv.ru .edubcy.ru .edubcz.ru .edubse.ru .edubsf.ru .edubsg.ru .edubsh.ru .edubtg.ru .edubub.ru .edubuu.ru .educik.ru .educil.ru .educio.ru .educip.ru .educis.ru .educix.ru .educiz.ru .educxm.ru .edudsd.ru .edudse.ru .edudsq.ru .edudss.ru .edudsw.ru .edudsx.ru .edudsz.ru .eduffa.ru .eduffc.ru .eduffd.ru .eduffe.ru .eduffi.ru .eduffl.ru .eduffo.ru .eduffp.ru .eduffq.ru .eduffs.ru .eduffv.ru .eduffw.ru .eduffx.ru .eduffz.ru .edufph.ru .edufpw.ru .edugri.ru .edugtp.ru .eduhge.ru .eduhgm.ru .eduhgn.ru .eduhgp.ru .eduhgt.ru .eduhgv.ru .eduhgx.ru .eduhha.ru .eduhhd.ru .eduhhe.ru .eduhhg.ru .eduhhq.ru .eduhhw.ru .eduhhx.ru .eduhhz.ru .eduhoi.ru .eduhts.ru .eduhxe.ru .eduhxm.ru .eduhxo.ru .eduhxt.ru .eduhxx.ru .eduije.ru .eduijn.ru .eduiop.ru .edujhg.ru .edujhi.ru .edujhu.ru .edujhx.ru .edujjc.ru .edujjd.ru .edujjg.ru .edujjh.ru .edujjl.ru .edujjs.ru .edujna.ru .edujne.ru .edujnq.ru .edujns.ru .edujnw.ru .edujnx.ru .edujnz.ru .edujsa.ru .edujse.ru .edujsq.ru .edujss.ru .edujsw.ru .edujsx.ru .edujsz.ru .edukajs.ru .edukeb.ru .edukef.ru .edukej.ru .edukek.ru .eduker.ru .edukes.ru .eduket.ru .edukkc.ru .edukkf.ru .edukkh.ru .edukkj.ru .edukkp.ru .edukkr.ru .edukkv.ru .eduksa.ru .edukse.ru .eduksq.ru .edukss.ru .eduksw.ru .eduksx.ru .eduksz.ru .edukxc.ru .edukxl.ru .edukxp.ru .edukxr.ru .edukxs.ru .edukxx.ru .edukxz.ru .edulfa.ru .edulfe.ru .edulfq.ru .edulfs.ru .edulfw.ru .edulfx.ru .edulfz.ru .edulkc.ru .edulke.ru .edulkq.ru .edulkr.ru .edulkw.ru .edulkx.ru .edulkz.ru .edulla.ru .edulld.ru .edulle.ru .edullq.ru .edulls.ru .edullw.ru .edullx.ru .edullz.ru .edumab.ru .edumae.ru .edumaf.ru .edumak.ru .edumal.ru .edumar.ru .edumaxs.ru .edumay.ru .edumaz.ru .edumho.ru .edumih.ru .edumii.ru .edumka.ru .edumke.ru .edumkj.ru .edumkk.ru .edumkp.ru .edumkw.ru .edumlaa.ru .edumlc.ru .edumlx.ru .edummg.ru .edummu.ru .edumoz.ru .edumpa.ru .edumpdd.ru .edunee.ru .edunej.ru .edunel.ru .edunep.ru .edunes.ru .eduneu.ru .edunmn.ru .edunnc.ru .edunnd.ru .edunng.ru .edunnk.ru .edunnl.ru .edunnm.ru .edunnp.ru .edunnu.ru .edunny.ru .edunnz.ru .edunof.ru .edunog.ru .edunoh.ru .edunon.ru .edunot.ru .edunou.ru .edunoy.ru .edunpz.ru .edunxp.ru .eduodb.ru .eduodf.ru .eduodl.ru .eduodp.ru .eduodx.ru .eduodz.ru .eduoee.ru .eduokx.ru .eduoob.ru .eduoof.ru .eduoss.ru .eduplaz.ru .edupltf.ru .edupyy.ru .edusko.ru .edusso.ru .edusui.ru .eduttf.ru .eduuut.ru .eduvka.ru .eduvke.ru .eduvkq.ru .eduvks.ru .eduvkw.ru .eduvkx.ru .eduvkz.ru .eduvot.ru .eduvrt.ru .eduvvl.ru .eduvvo.ru .eduvvq.ru .eduvvu.ru .eduvvx.ru .eduxnj.ru .eduxnjj.ru .eduxox.ru .eduxsm.ru .eduyha.ru .eduyhd.ru .eduyhe.ru .eduyhq.ru .eduyhw.ru .eduyhx.ru .eduyhz.ru .eduyyh.ru Вот ни в жизни не поверю, что эти домены зареганы для чего-то доброго и вечного.

Фейковые инвестиционные платформы уже лет 5 работают на одном шаблоне, но есть и исключения. Вот, например, шаблон под Сбер. Если вы пробовали себя в инвестициях, то вы прекрасно понимаете, что доход от 100 тысяч в месяц при инвестировании 10 тысяч рублей, это не просто смехотворно, это СМЕХОТВОРНО и сразу должно стать красным флагом. Впрочем, не все у нас профи в инвестициях (и я не исключение), так что предложение может выглядеть заманчиво. Важная черта, которая отличает фейковых брокеров: вам предлагают торговать непонятно чем, или инвестировать непонятно во что, а то и вовсе предлагают валютную биржу под видом инвестиций или наоборот. Поэтому совет: хотите погрузиться в мир инвестиций или финансовых рынков, сначала изучите все от и до, а то окажетесь вот на таком сайте и потеряете последние деньги.

Первый пост в 2026 году должен быть о чем-то добром и хорошем. Поэтому он будет о появившемся вчера сайте, на котором Андрей поздравляет с днем рождения Александру. Сама по себе идея прекрасна, но сразу возникает вопрос, насколько приватна информация, размещенная на общедоступном сайте… Ответ: если сайт общедоступен, то она не приватна, так что публиковать подарочный код маркетплейса для Александры таким образом явно не стоит. Поэтому мы искренне поздравляем Александру с ее 22-летием и не менее искренне восхищаемся креативностью Андрея, но впредь советуем передавать такие коды тет-а-тет или вовсе – писать их от руки на открытке: что может быть романтичнее! Помните, если вы создали сайт без авторизации для конкретного человека, этот сайт будет доступен всем. (И все подарочные коды тоже!)

Вот уже несколько лет фишинг с голосованиями держит свои позиции и даже развивается. Зачем угонять один лишь Telegram, если можно сразу угнать еще и аккаунт в VK?