all posts in2security

Смотрите, какая красота! Мошенники снова стали рассылать в российские организации письма, теперь с информацией о том, что с сотрудниками компании будет проведена телефонная беседа по вопросам обеспечения защиты конфиденциальных данных. В этом документе прекрасно все: начиная с того, что он направлен от имени Росприроднадзора – конечно, это же головная в нашей стране организация, отвечающая за информационную безопасность и защиту ПД; и заканчивая подписью: Сотрудник Аппарата Прикомандированных Сотрудников ФСБ при Росприроднадзоре! Мне даже добавить нечего. Мне, как человеку, почти два десятка лет имевшему отношение к делопроизводству в государственной структуре, с первого взгляда заметно, что это подделка. Но как показывает практика, если вы не работали в госсекторе и не перевели тонну бумаги на переписку с разными ведомствами, это не столь очевидно. Напишите в комментариях, какие ляпы вы увидели в данном документе.

Ну и раз уж я упомянул лекцию про Льва Термена, то вот вам полная информация. Кстати, возможно на этой лекции можно будет поиграть на терменвоксе автора данного канала: В своей лекции "Термен - гений электроники" старший научный сотрудник Политехнического музея Р.В. Артеменко расскажет об уникальных работах инженера и ученого в сложнейшее для страны и ее граждан время. Измерительные и сигнализационные установки, музыкальные инструменты, ТВ-установки и спецтехника, — в каждой из этих областей Льву Сергеевичу Термену удалось создать образцы аппаратуры во многом опередившие свое время. Попытаемся вместе разгадать основу творческой натуры инженерной деятельности на примере работ Л.С.Термена. Помогут нам в этом уникальные фонды Политехнического музея, что хранят документы о жизни и творчестве выдающегося человека и инженера XX века и знакомство с которыми может оказаться полезным не только будущим инженерам, но и музыкантам, историкам, философам, социологам. Бесплатная регистрация по ссылке: https://tickets.polymus.ru/event/D2ED4C62C1D541E7A97E6DA64BF93795BD463AF8 Место проведения на карте https://yandex.ru/maps/-/CDrgBVO4

Интересный кейс по взлому Telegram. Есть популярный сайт для сохранения видео с видеохостингов – savefrom.net. На нем можно сохранить видео либо через веб-интерфейс, либо через плагин для Chrome. Насколько я помню, к этому плагину одно время были некоторые вопросы касаемо его безопасности, но я могу и ошибаться. Итак, меня попросили скачать с YouTube видео про терменвокс для завтрашней лекции про Льва Термена в Политехническом музее, кстати, настоятельно рекомендую, билеты еще есть. Зашел я на сайт, закинул туда ссылку и выбрал пункт «скачать без установки расширения». Что ж, файл скачался, но параллельно в новой вкладке у меня открылась страница на домене https://vk.com-id.page/, на которой было сказано, что моя страница заблокирована за нарушение правил VK, и чтобы разблокировать ее, следует авторизоваться через Telegram. Ну а дальше все по стандартной схеме. Что ж, ресурс отправляется прямиком на блокировку!

Видимо 0day под Outlook в итоге купили. Список покупателей на скриншоте.

Ого! Тут на одном широко известном в узких кругах форуме опубликовали 0day – под сам Outlook! Ценник демократический – примерно 170 миллионов рублей. Перечень версий весьма впечатляет: начиная с 2016 офиса до 365 энтерпрайза. И все бы ничего, но вот только обычно такие штуки в паблике не пролают, тем более на форуме, на котором школьников куда больше, чем тех, кто может отвалить 170 миллионов за RCE… Возможно, надежда на то, что Microsoft увидит пост и захочет выкупить? Эдакий стартапчик? Но как-то сомнительно. В общем, штука интересная, мы, конечно, брать не советуем, но если кто-то купит в ипотеку, отпишитесь нам, что как.

Если ваши деньги похитили телефонные мошенники, то вернуть их скорее всего уже не получится. Однако желающих повторно нажиться на человеке, тешащим себя надеждой вернуть свои кровные, всегда найдутся. Сегодняшний сайт – классический пример повторного обмана жертв фейковых криптоинвесторов, о которых мы писали на канале уже десятки раз. По факту это такие же телефонные мошенники, действующие из колл-центров, только в этой схеме никто никого не пугает и не предлагает перевести деньги на защищенный счет, а напротив – предлагает хорошо подзаработать. Если вы оставите данные на таком «инвестиционном» сайте, вас замучают звонками добрые менеджеры. А когда вы внесете на счет «биржи» свои сбережения и поймете, что вернуть их оттуда не выйдет, настанет черед вот такого юриста Никулина. Иногда мошенники сами звонят своим же жертвам, предлагая помощь в возврате денег, иногда – заманивают людей на такие сайты через рекламу и спам-рассылки. По факту человека просто обманут еще раз. И точно так же, как карета золушки в полночь превращается в тыкву, всемирно известный юрист Никулин по мановению Яндекса превращается в популярную модель с бесплатных фотостоков.

Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу. Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега. Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку. Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется. Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик. Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!

Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки. Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru. Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.

В такой прекрасный весенний день не грех выйти из зимней спячки и написать о том, что злоумышленники стали использовать образ трэш-стримера Мелстроя для раскрутки очередной итерации скам-схемы с коробочками. Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает. Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.