audience statistics in2security

Since the beginning of the war, more than 2000 civilians have been killed by Russian missiles, according to official data. Help us protect Ukrainians from missiles - provide max military assisstance to Ukraine #Ukraine. #StandWithUkraine

Смотрите, какая красота! Мошенники снова стали рассылать в российские организации письма, теперь с информацией о том, что с сотрудниками компании будет проведена телефонная беседа по вопросам обеспечения защиты конфиденциальных данных. В этом документе прекрасно все: начиная с того, что он направлен от имени Росприроднадзора – конечно, это же головная в нашей стране организация, отвечающая за информационную безопасность и защиту ПД; и заканчивая подписью: Сотрудник Аппарата Прикомандированных Сотрудников ФСБ при Росприроднадзоре! Мне даже добавить нечего. Мне, как человеку, почти два десятка лет имевшему отношение к делопроизводству в государственной структуре, с первого взгляда заметно, что это подделка. Но как показывает практика, если вы не работали в госсекторе и не перевели тонну бумаги на переписку с разными ведомствами, это не столь очевидно. Напишите в комментариях, какие ляпы вы увидели в данном документе.

Ну и раз уж я упомянул лекцию про Льва Термена, то вот вам полная информация. Кстати, возможно на этой лекции можно будет поиграть на терменвоксе автора данного канала: В своей лекции "Термен - гений электроники" старший научный сотрудник Политехнического музея Р.В. Артеменко расскажет об уникальных работах инженера и ученого в сложнейшее для страны и ее граждан время. Измерительные и сигнализационные установки, музыкальные инструменты, ТВ-установки и спецтехника, — в каждой из этих областей Льву Сергеевичу Термену удалось создать образцы аппаратуры во многом опередившие свое время. Попытаемся вместе разгадать основу творческой натуры инженерной деятельности на примере работ Л.С.Термена. Помогут нам в этом уникальные фонды Политехнического музея, что хранят документы о жизни и творчестве выдающегося человека и инженера XX века и знакомство с которыми может оказаться полезным не только будущим инженерам, но и музыкантам, историкам, философам, социологам. Бесплатная регистрация по ссылке: https://tickets.polymus.ru/event/D2ED4C62C1D541E7A97E6DA64BF93795BD463AF8 Место проведения на карте https://yandex.ru/maps/-/CDrgBVO4

Интересный кейс по взлому Telegram. Есть популярный сайт для сохранения видео с видеохостингов – savefrom.net. На нем можно сохранить видео либо через веб-интерфейс, либо через плагин для Chrome. Насколько я помню, к этому плагину одно время были некоторые вопросы касаемо его безопасности, но я могу и ошибаться. Итак, меня попросили скачать с YouTube видео про терменвокс для завтрашней лекции про Льва Термена в Политехническом музее, кстати, настоятельно рекомендую, билеты еще есть. Зашел я на сайт, закинул туда ссылку и выбрал пункт «скачать без установки расширения». Что ж, файл скачался, но параллельно в новой вкладке у меня открылась страница на домене https://vk.com-id.page/, на которой было сказано, что моя страница заблокирована за нарушение правил VK, и чтобы разблокировать ее, следует авторизоваться через Telegram. Ну а дальше все по стандартной схеме. Что ж, ресурс отправляется прямиком на блокировку!

Видимо 0day под Outlook в итоге купили. Список покупателей на скриншоте.

Ого! Тут на одном широко известном в узких кругах форуме опубликовали 0day – под сам Outlook! Ценник демократический – примерно 170 миллионов рублей. Перечень версий весьма впечатляет: начиная с 2016 офиса до 365 энтерпрайза. И все бы ничего, но вот только обычно такие штуки в паблике не пролают, тем более на форуме, на котором школьников куда больше, чем тех, кто может отвалить 170 миллионов за RCE… Возможно, надежда на то, что Microsoft увидит пост и захочет выкупить? Эдакий стартапчик? Но как-то сомнительно. В общем, штука интересная, мы, конечно, брать не советуем, но если кто-то купит в ипотеку, отпишитесь нам, что как.

Если ваши деньги похитили телефонные мошенники, то вернуть их скорее всего уже не получится. Однако желающих повторно нажиться на человеке, тешащим себя надеждой вернуть свои кровные, всегда найдутся. Сегодняшний сайт – классический пример повторного обмана жертв фейковых криптоинвесторов, о которых мы писали на канале уже десятки раз. По факту это такие же телефонные мошенники, действующие из колл-центров, только в этой схеме никто никого не пугает и не предлагает перевести деньги на защищенный счет, а напротив – предлагает хорошо подзаработать. Если вы оставите данные на таком «инвестиционном» сайте, вас замучают звонками добрые менеджеры. А когда вы внесете на счет «биржи» свои сбережения и поймете, что вернуть их оттуда не выйдет, настанет черед вот такого юриста Никулина. Иногда мошенники сами звонят своим же жертвам, предлагая помощь в возврате денег, иногда – заманивают людей на такие сайты через рекламу и спам-рассылки. По факту человека просто обманут еще раз. И точно так же, как карета золушки в полночь превращается в тыкву, всемирно известный юрист Никулин по мановению Яндекса превращается в популярную модель с бесплатных фотостоков.

Проголосуйте за детский рисунок и лишитесь аккаунта в Telegram? Устарело! Смотрите, какая изящная схема угона Telegram-аккаунтов через поиск по картинкам вскрылась. Мы прям снимаем шляпу. Вот ищете вы мемасики/аниме/прон/пиццу, черт побери, в Яндексе и выскакивает вам картинка по вашему запросу. Вы кликаете на нее, а вам предлагают подписаться на канал «Тебе понравится». Естественно придется залогиниться, отправить код из СМС и… прощай родная телега. Для того, чтобы нужная картинка выдавалась практически по любому запросу, злоумышленники создали несколько сотен сайтов на одном шаблоне, каждый из которых является по сути просто каталогом изображений с описаниями, взятыми из других источников. Магия SEO, прикрученная Яндекс.Метрика и вот уже по запросу «Гарри Поттер и Гермиона фанфик» в списке поисковой выдачи вы увидите заветную ссылку. Что характерно, сайт с картинками проверяет, перешли ли вы на него по ссылке из поисковика или нет. Если нет, то вы не увидите никакого фишинга, вот вам картинка, что вы запрашивали; если да, вас редиректит на фишинговую страницу под Telegram, ссылка на которую регулярно меняется. Пожалуй, это самая крутая схема по взлому TG, которую мы видели за последний год. В совокупности сеть сайтов содержит в районе миллиона картинок с описаниями, то есть шанс нарваться на фейк крайне велик. Снимаем шляпу перед криминальным талантом, но вынуждены огорчить создателей схемы: мы знаем о них несколько больше, чем они думают, так что ожидайте продолжения этой истории в нашем канале. А пока – сайты на блок!

Хотите получить выплату от государства? Установите сертификат безопасности… то есть троян под Android! Но сперва введите ФИО, телефон и номер карты. А потом введите все это еще раз и заново скачайте тот же троян, ну так, для перестраховки. Как это водится, в схеме задействовано сразу несколько ресурсов. Первый - gos-uslugi.biz (скоро прекратит существование) видится вполне самодостаточным, но после скачивания трояна-сертификата gs_uslg_1_0_5.apk жертву переадресовывают на https://n0wpay.world/ по уникальной ссылке, где нужно заново ввести те же самые сведения и скачать троян еще раз, ну вдруг в первый раз не вышло. Второй раз троян предстоит скачать уже с нового сайта: https://gos-uslugi.my1.ru. Сайты отправлены на блок, образец трояна – в антивирусные и ИБ-компании. Не благодарите.

В такой прекрасный весенний день не грех выйти из зимней спячки и написать о том, что злоумышленники стали использовать образ трэш-стримера Мелстроя для раскрутки очередной итерации скам-схемы с коробочками. Такой инфоповод было сложно упустить, раз уж Мелстрой раздает деньги за приветы от знаменитостей и президентов, почему бы ему не раздать и другие подарки? К сожалению, это так не работает. Зато мы пользуемся случаем и передаем привет Мелстрою от имени канала.

Сегодня мы обнаружили 4 новых фишинговых сайта, эксплуатирующих бренд волонтерского движения «Мы вместе»: http://gosvyplatyvmeste.ru/ https://rosfinpodderzhka.ru/ https://helpinghope.ru/ https://helpourpeople.ru/ Данные сайты являются представителями весьма нестандартного подхода к скам-схеме с фейковыми социальными выплатами. Во-первых, они пытаются охватить все категории людей сразу – практически каждый попадает в категорию, которой причитается выплата. Во-вторых они собирают весьма внушительный массив данных о человеке, начиная со СНИЛС и заканчивая ФИО, номером карты, телефона и кодом из СМС. Более детальное изучение ресурсов показало, что это не единичная акция, а очередной фишинговый кит, работающий в связке с Telegram-ботом, так что можно ожидать массового появления такого рода сайтов. Что характерно, в коде открытым текстом лежит и токен бота, и ID чата в Telegram, соответственно введенные данные улетают биороботу, который их потом обрабатывает. После недолгого изучения ресурсы были отправлены на блокировку.

Мошенники стали пугать российские организации проверкой ФСБ В нашем распоряжении оказалась целая пачка писем, направленных в адрес различных компаний от имени УФСБ России по г. Москве и Московской области. На первый взгляд письма выглядят грозно: в них сообщается о проведении внеплановой проверки, по итогам которой было принято решение о возбуждении уголовного дела по признакам состава преступления, предусмотренного ст. 275 УК РФ, а этот не много ни мало – госизмена! Однако дьявол кроется в деталях. Несмотря на то, что изученные нами письма имеют различия, например, отличаются фамилии и звания подписавших их инспекторов, слегка меняется форматирование и количество ошибок (что может говорить о том, что их не просто копипастят, а набивают вручную), в целом такое письмо, если рассмотреть его повнимательнее, представляет собой ад для делопроизводителя-перфекциониста. 1. Поля. Они откровенно не по ГОСТу. Видите такие поля в документе, скорее всего он имеет мало отношения к реальности. 2. Форматирование… должно быть по ширине, если что. 3. «тся» и «ться»… Вспоминается мем «Требуется уборщится». 4. Уголовное дело в отношении юр.лица? Это какое то новшество! 5. Ссылка на закон «О государственной тайне», к которой организация-получатель не имеет никакого отношения. 6. Документ подписан посредством некоего «зашифрованного канала связи»! 7. …. 8. Profit! Ну а если честно, то одного взгляда на письмо достаточно для того, чтобы понять, что его писал человек, ни дня не занимавшийся делопроизводством в какой-нибудь госструктуре, даже не ФСБ. Миллион ошибок, несвязный текст, неправильное написание наименований нормативных актов… Ошибок тут бесконечное количество. Но расчет делается на то, что 3 магические буквы Ф, С и Б отключат у получателя критическое мышление… Если получили подобный документ, смело отправляйте его в мусорку.

Мошенники с маркетплейсов стали использовать Систему быстрых платежей для кражи денег у желающих купить новогодние подарки со скидкой Осторожно! Ссылки и QR-коды из поста ведут на фейковые или платежные ресурсы! В преддверии новогодних праздников активизировались мошеннические схемы, связанные с ритейлерами и маркетплейсами. Рассмотрим ситуацию на примере действующего пока вредоносного сайта https://mvldeo-promotion.info. Ссылки на ресурс распространяются через QR-коды в соцсетях, для маскировки используется сервис сокращения ссылок. Несмотря на то, что сама по себе схема не нова и является форком фишинговых китов, предлагаемых по сервисной модели, в нынешнем формате реализации есть некоторые новшества. Во-первых, теперь товар предлагается забирать исключительно самовывозом из магазина: это позволяет уменьшить количество действий, совершаемых жертвой на сайте до момента оплаты товара. Во вторых, когда жертва попадает на фейковую платежную форму Сбера на отдельном ресурсе https://sber-payonline.info ей сразу предлагают кэшбэк 40%, ну как тут пройти мимо? Ну а в третьих: после ввода данных карты жертву переадресовывают на настоящий сайт НСПК (казалось бы, ну и зачем тогда надо было вводить данные карты?) и предлагают отсканировать QR-код, который приведет на форму перевода денег через СБП (2 последних скриншота)… Таким образом в руках злоумышленников оказываются полные данные карты жертвы плюс «добровольно» переведенные через СБП деньги. В конкретном случае в описании платежа на сайте СБП значилось: "Возм. По согл. В СБП #324300102361 от 2023-12-06".

А вот и практическое применение доменов для угона аккаунтов телеграм. Хочу обратить внимание на собачку в имени хоста, достаточно новая фишечка. Видимо, те же ребята, что и в этом посте. Ну и бонусом еще немного их доменов: cancel-action[.ru cancel-action[.online action-confirm[.ru action-confirm[.site action-cancel[.ru export-cancel[.ru confirm-action[.ru За картинку спасибо Политджойстик

Timeweb удваивает выплаты за найденные баги Пока на улице стремительно холодает, багхантеры заваривают чашечку любимого чая или кофе и сурово идут искать уязвимости на BI.ZONE Bug Bounty. И не просто так, а потому что с 23 ноября по 24 декабря Timeweb удваивает выплаты. Их можно получить за находку уровня high и critical в любых продуктах компании, которые доступны для исследования. Максимальное вознаграждение — 500 000 рублей. Успейте сдать отчет и получить двойное баунти!

В свежей пачке доменов в зоне .РФ обнаружился вот такой любопытный ресурс: «бабушка-ясновидящая24.рф». Бабушка Ефросинья отличается высокой продуктивностью (помогла более 50 тысячам людей) и нежеланием светить свои контакты – связаться с ней напрямую невозможно, можно лишь использовать форму обратной связи или заполнить анкету, в которой требуется изложить суть проблемы и оставить свои персональные данные. Но есть у бабушки Ефросиньи свой маленький секрет… она еще и дедушка. Если взять строку из отзыва с сайта бабушки и вставить ее в поисковик, обнаруживается принадлежащий тому же владельцу сайт-двойник «маг-ясновидящий.рф», в заголовке которого написано: «Эрнест – потомственный ясновидящий, экстрасенс». Магия, да и только!