- \n
- Пользователь получает сообщение от одного из своих контактов якобы с подарком подписки на Telegram Premium.<\/li>\n<\/ol>\n
![](\"\/pictures\/image9-1.png\")
<\/p>\n- \n
- При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.<\/li>\n<\/ol>\n
- \n
- На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
\nЕсли ввести его, мошенник получит доступ в аккаунт жертвы, ко всем её контактам и перепискам.<\/li>\n - Злоумышленник рассылает аналогичные сообщения по списку контактов уже от имени взломанного пользователя, а затем удаляет их из списка отправленных, чтобы жертва ничего не заподозрила. У получателей сообщение остаётся.<\/li>\n
- Мошенник сохраняет полный доступ к взломанному Telegram-аккаунту со своего устройства, пока жертва не обнаружит его присутствие и не удалит посторонний гаджет из списка авторизованных.<\/li>\n<\/ol>\n
Схема № 2<\/h3>\n
- \n
- Начинается с сообщения с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».<\/li>\n<\/ol>\n
![](\"\/pictures\/image7-1.png\")
<\/p>\n- \n
- При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.<\/li>\n<\/ol>\n\n
![\"\"](\"https:\/\/blog.startx.team\/pictures\/konkurs.png\")
\n<\/div>\n- \n
- Если ввести код авторизации от Telegram на этой странице, злоумышленники войдут в аккаунт со своего устройства.<\/li>\n
- По контактам взломанных аккаунтов и чатам, в которых состояли их владельцы, рассылается мошенническое сообщение.<\/li>\n
- С новыми взломанными учетными записями схема повторяется.<\/li>\n<\/ol>\n
Что делать, если я уже перешел по ссылке и отправил код?<\/h2>\n
Зайдите в «Настройки», выберите «Устройства» и нажмите на ссылку «Завершить другие сеансы». После этого включите двухфакторную аутентификацию.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/tggggg1.png\")
\n<\/div>\nКак защитить свой аккаунт от таких атак?<\/h2>\n
Настройте двухфакторную аутентификацию. С ней даже после ввода кода злоумышленникам нужно будет ввести пароль, который знаете только вы:<\/p>\n
- \n
- Откройте Telegram и перейдите на вкладку «Настройки»;<\/li>\n
- Перейдите в раздел «Конфиденциальность»;<\/li>\n
- Перейдите в меню «Облачный пароль»;<\/li>\n
- Выберите «Установить пароль»;<\/li>\n
- Придумайте надежный пароль или кодовую фразу и подтвердите создание пароля.<\/li>\n<\/ol>\n\n
![\"\"](\"https:\/\/blog.startx.team\/pictures\/tgggggg2.png\")
\n<\/div>\n",
"date_published": "2022-12-20T16:26:12+03:00",
"date_modified": "2022-12-20T16:25:54+03:00",
"image": "https:\/\/blog.startx.team\/pictures\/image9-1.png",
"_date_published_rfc2822": "Tue, 20 Dec 2022 16:26:12 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "339",
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": [
"https:\/\/blog.startx.team\/pictures\/image9-1.png",
"https:\/\/blog.startx.team\/pictures\/image7-1.png",
"https:\/\/blog.startx.team\/pictures\/konkurs.png",
"https:\/\/blog.startx.team\/pictures\/tggggg1.png",
"https:\/\/blog.startx.team\/pictures\/tgggggg2.png"
]
}
},
{
"id": "338",
"url": "https:\/\/blog.startx.team\/all\/razbor-fake-tender\/",
"title": "Разбор мошеннической схемы: дорогой сертификат для участия в поддельном аукционе",
"content_html": "Мошенники вновь атакуют предпринимателей предложениями принять участие в поддельных аукционах. В прошлый раз такая волна мошенничеств прокатилась по стране около года назад. Тогда мошенники обращались от лица ПАО «Газпром», ПАО «НК Роснефть», ОАО «РЖД» и других крупных компаний. У ПАО «Роснефть» даже есть анонс об этом мошенничестве<\/a>.<\/p>\n
Злоумышленники усовершенствовали схему: на начальном этапе они предоставляют вполне реальную документацию, скачанную из официальных источников. Доверия к ним добавляет и то, что обращаться они стали строго в профильные фирмы. В данном случае мошенники прислали запрос от лица ПАО «Магнит» — АО «Тандер» на оказание услуг спортивного клуба.<\/p>\n
![](\"\/pictures\/image3-1.png\")
<\/p>\n![](\"\/pictures\/image2-1.png\")
<\/p>\nПосле непродолжительной переписки мошенники сообщают, что компания прошла отбор и выиграла конкурс. Для заключения договора и оплаты услуг нужно прислать документы в соответствии со списком.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/image4.png\")
\n<\/div>\nНо оказывается, что одного очень важного документа из списка не хватает. Это сертификат, удостоверяющий соответствие требованиям Системы добровольной сертификации «Система Контроля Оценки Качества».
\nМошенники предлагают самостоятельно пройти проверку в аккредитованных организациях и получить требуемый документ. Для этого предлагают воспользоваться поиском через Яндекс.<\/p>\nПоиск организации, оказывающей такую услугу, приведет на сайт компании мошенников, все остальные результаты в ЯндексПоиске — зеркала или дочки. Бенефициар один. Мошенники настраивают контекстную рекламу и выводят с помощью SEO в топ запросов сайты, которые сделаны под эту услугу. Поэтому и ссылок не требуется.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/image5-1.png\")
\n<\/div>\nПри обращении в такой центр сертификации, оказывается, что стоимость данной услуги 55 000 рублей. На фоне ожидаемой суммы контракта цена кажется малозначительной, и жертва оплачивает услуги. После этого мошенники, приглашавшие к участию в тендере, исчезают.<\/p>\n
Как понять, что участие в тендере вам предлагают мошенники:<\/p>\n
- \n
- Новый контрагент<\/b>. С этой фирмой вы раньше не работали. Это всегда должно настораживать, даже если название у всех на слуху. Свяжитесь с компанией, от имени которой предлагают участие в тендере, по контактам с официального сайта, и уточните, проводится ли такая закупка;<\/li>\n
- Подозрительный адрес отправителя<\/b>. Письмо пришло либо с бесплатного почтового ящика: @yandex.ru, @mail.ru, @gmail.com и пр. либо, как в данном случае, с недавно зарегистрированного домена @research-analysis.ru, который не относится к ПАО «Магнит» — АО «Тандер».<\/li>\n
- Большая сумма контракта<\/b>. Сумма контракта выгоднее рыночной, обещают полную предоплату. Мошенники надеются на жадность и рассчитывают, что эмоции помешают получателю письма мыслить рационально.<\/li>\n
- До получения денег<\/b> — один шаг. С вами готовы заключить контракт и перевести предоплату, но мешает какая-то формальность — отсутствие нужного сертификата. Однако преодолеть препятствие можно легко и быстро — достаточно заплатить сумму, которая кажется небольшой по сравнению с прибылью от сделки.<\/li>\n<\/ul>\n", "date_published": "2022-12-16T15:23:18+03:00", "date_modified": "2022-12-16T15:26:18+03:00", "image": "https:\/\/blog.startx.team\/pictures\/image3-1.png", "_date_published_rfc2822": "Fri, 16 Dec 2022 15:23:18 +0300", "_rss_guid_is_permalink": "false", "_rss_guid": "338", "_e2_data": { "is_favourite": false, "links_required": [], "og_images": [ "https:\/\/blog.startx.team\/pictures\/image3-1.png", "https:\/\/blog.startx.team\/pictures\/image2-1.png", "https:\/\/blog.startx.team\/pictures\/image4.png", "https:\/\/blog.startx.team\/pictures\/image5-1.png" ] } }, { "id": "318", "url": "https:\/\/blog.startx.team\/all\/safe-hotel-booking\/", "title": "Как безопасно забронировать гостиницу", "content_html": "
После ухода из России привычных сервисов Booking и Airbnb перед многими встал вопрос: как теперь безопасно забронировать нормальную гостиницу?<\/p>\n
Одна из проблем, с которой могут столкнуться россияне, планирующие отдых, — поддельные сайты отелей, которые трудно отличить от настоящих. Если человек попытается снять жильё на таком ресурсе, то он может потерять деньги или, как минимум, получить неприятные впечатления и испортить поездку.<\/p>\n
В этой статье мы разберём, на что нужно обратить внимание при бронировании проживания, чтобы вы получили нужный номер и не отдали деньги мошенникам.<\/p>\n
Как люди обычно ищут гостиницу<\/h2>\n
Если вы ещё не знаете, где хотите остановиться, или у вас нет адреса официального сайта гостиницы, вы, скорее всего, начнёте с поиска в интернете. Например, введёте в поисковике название отеля или города.<\/p>\n
Однако в поисковой выдаче могут попадаться не только настоящие, но и поддельные сайты гостиниц. Для их продвижения используется в том числе контекстная реклама.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/sochi-park-search-results.png\")
\nУ «Сочи Парк Отеля» нет официального сайта, а в числе первых результатов поиска попадаются мошеннический сайт (park-sochi-hotel[.]com) и сайт-посредник (sochipark-hotel[.]ru).<\/div>\n<\/div>\nС помощью рекламы фишинговые сайты мошенников могут попадать даже на баннер над подсказками в самой строке поиска. Поисковые сервисы (Google, Яндекс) удаляют такие результаты, но пока их не обнаружат, пользователи могут спутать такой сайт с настоящим.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/search-ad-zhem.png\")
\nФишинговый сайт в виде рекламного баннера над подсказками в строке поиска в Яндексе.<\/div>\n<\/div>\nПомимо поисковика вы также можете увидеть выгодное предложение
\nв тематических сообществах Telegram, VK и в других соцсетях. Но и здесь никто не застрахован от ссылок на поддельные сайты.<\/p>\nВ чём опасность поддельных сайтов<\/h2>\n
Разберём два типичных случая, когда человек может попасть на поддельный сайт гостиницы.<\/p>\n
Фишинговые сайты<\/h3>\n
Первый случай — это фишинговые сайты<\/b>, с помощью которых мошенники стремятся украсть у жертв деньги<\/b>. Например, в июле житель Салехарда потерял<\/a> так 113 тысяч рублей.<\/p>\n
Мошенники создают фишинговые сайты популярных гостиниц для кражи денег под видом бронирования жилья на отпуск. Специалисты Group-IB насчитали<\/a> более 30 действующих фишинговых ресурсов, копирующих сочинские отели.<\/p>\n
Злоумышленники копируют сайт известной гостиницы, например, такой как «Сочи Парк Отель» или «Жемчужина». Внешний вид сайта может полностью или частично повторять оригинал, при этом на нём указываются другие контактные данные.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/4-zhems.png\")
\nТри мошеннических сайта гостиницы «Жемчужина» полностью копируют её официальный сайт (zhem.ru) и размещены по адресам, в которых используется её название: hotels-zhem[.]com, sochi-zhemchuzhina[.]com, zhem-hotel-sochi[.]com.<\/div>\n<\/div>\nВыбрав вариант проживания на мошенническом сайте, пользователь попадает на страницу с фишинговой формой, где ему предлагается ввести данные банковской карты якобы для оплаты бронирования. Если человек введёт их, злоумышленник сможет украсть деньги с его счёта. В других случаях мошенники могут предлагать произвести оплату по QR-коду через Систему быстрых платежей. Но фактически это будет перевод денег мошеннику.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/phishing-form.png\")
\nФишинговая форма оплаты заказа на поддельном сайте гостиницы «Жемчужина».<\/div>\n<\/div>\nПосреднические сайты<\/h3>\n
Второй случай — сайты-посредники<\/b>, которые создаются турфирмами для привлечения клиентов. Они не являются фишинговыми, поскольку их создатели не стремятся украсть деньги. Однако они также имитируют сайты реальных гостиниц и стремятся создать у клиентов ложное впечатление, что те бронируют номер напрямую у желаемого отеля.<\/p>\n
В отличие от других организаций, оказывающих посреднические услуги по бронированию проживания, таких как турагентства или агрегаторы вроде Слетать.ру или Турвизора, создатели сайтов-посредников стараются скрыть свою роль<\/b> и выдать себя за представителей отелей.<\/p>\n
Под каждый отель создаётся отдельный сайт на уникальном домене и с информацией о соответствующем месте размещения. При общении менеджеры не уточняют, что бронирование будет оформляться через посредника.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/four-copies.png\")
\nМы обнаружили более 200 сайтов-посредников, созданных по одному макету. Каждый из них имитирует сайт отдельной гостиницы и размещается на уникальном домене, в котором используется название соответствующего места. Например, отелей «Лазурный берег», Lafer Renaissance, City Park Hotel Sochi и Корпоративного центра Сбербанка.<\/div>\n<\/div>\nВ лучшем случае при бронировании через такого посредника человек получит желаемый номер по более высокой стоимости, чем при заказе напрямую у отеля. Но он может столкнуться и с тем, что ему предложат номер другой категории или в другом отеле нежели тот, который был «забронирован» изначально. Проблемы могут возникнуть при попытке изменить бронирование или вернуть деньги.<\/p>\n
Рекомендации по безопасному бронированию гостиниц<\/h2>\n
Чтобы не потерять деньги или не столкнуться с другими проблемами при бронировании гостиницы, делайте заказ через надёжные сайты.<\/p>\n
Где безопасно бронировать<\/h3>\n
- \n
- На официальном сайте<\/b> — они есть у большинства отелей, особенно крупных и сетевых. Ниже мы разберём, как проверить, что сайт действительно настоящий.<\/li>\n
- Через туроператора или агентство с хорошей репутацией<\/b>. Некоторые отели эксклюзивно работают с одним или несколькими туроператорами, поэтому обратиться к ним будет выгоднее и надёжнее всего.<\/li>\n
- Через популярный сервис по бронированию<\/b>, например, Островок<\/a> или Tvil<\/a>.<\/li>\n<\/ol>\n
Как определить что сайт отеля официальный, а не поддельный<\/h3>\n
Учитывая популярность сайтов-подделок, переходите к бронированию жилья только после тщательной проверки ресурса, на который вы попали.<\/p>\n
- \n
- Обратите внимание, есть ли в поисковой выдаче по названию вашего отеля сайты с другими адресами<\/b>. Если вам попадается несколько сайтов одного отеля, это первое предупреждение, что среди них есть подделки.<\/li>\n
- Поищите подтверждение, что адрес настоящий, в заслуживающих доверия источниках<\/b>: в верифицированном сообществе отеля в соцсетях, на рекламной продукции отеля, через турагентство, напрямую у отеля, если у вас есть контактный телефон. Помните, что на поддельном сайте будут указаны ненастоящие контактные данные организации.<\/li>\n
- Уточните, когда был зарегистрирован интернет-адрес сайта, через сервис WHOIS<\/a><\/b>. Это поможет определить мошеннические сайты, которые, как правило, функционируют короткий период времени, значит, их адреса зарегистрированы недавно. Однако сайты фирм-посредников могут существовать на протяжении гораздо более долгого времени и иметь старые доменные адреса.<\/li>\n
- Найдите отзывы о сайте или компании, которая предлагает вам услуги по бронированию<\/b>. К сожалению, этот совет не работает для всех сайтов, но часто это может помочь вам не стать жертвой обмана. Так, некоторые отели сами предупреждают о мошеннических сайтах: сочинская «Жемчужина» опубликовала предупреждение<\/a> весной этого года, а предупреждение о сайтах-двойниках «Сочи Парк Отеля»<\/a> размещено на странице гостиницы у её эксклюзивного партнёра туроператора Библио-Глобус.<\/li>\n
- Проверьте, есть ли на сайте<\/b> (часто в нижней части) подпись примерно такого содержания: «данный сайт носит исключительно информационный характер<\/b> и ни при каких условиях результаты расчетов не являются публичной офертой». Такое уточнение для подстраховки помещают на поддельных сайтах турфирмы-посредники.<\/li>\n<\/ol>\n
Куда пожаловаться на фишинговый сайт<\/h3>\n
- \n
- Присылайте примеры поддельных сайтов страниц нам в Telegram — https:\/\/t.me\/Antiphish_alert_bot.<\/a><\/li>\n<\/ol>\n
- \n
- Если ссылка на поддельный сайт попалась вам в интернет-поиске, то вы можете сообщить о ней непосредственно поисковику, например Яндексу или Google.<\/li>\n<\/ol>\n\n
![\"\"](\"https:\/\/blog.startx.team\/pictures\/zhem-abuse.png\")
\nВ поисковике Яндекса вы также можете пожаловаться на рекламу фишингового сайта из списка результатов. Для этого вам нужно нажать на три точки после адреса сайта и выбрать в выпадающем меню вариант «Спам или мошенничество».<\/div>\n<\/div>\n- \n
- Для блокирования поддельного сайта сообщите о нём через систему мониторинга фишинговых сайтов Минцифры<\/a>.<\/li>\n<\/ol>\n",
"date_published": "2022-08-29T11:21:40+03:00",
"date_modified": "2022-09-06T17:02:39+03:00",
"image": "https:\/\/blog.startx.team\/pictures\/sochi-park-search-results.png",
"_date_published_rfc2822": "Mon, 29 Aug 2022 11:21:40 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "318",
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": [
"https:\/\/blog.startx.team\/pictures\/sochi-park-search-results.png",
"https:\/\/blog.startx.team\/pictures\/search-ad-zhem.png",
"https:\/\/blog.startx.team\/pictures\/4-zhems.png",
"https:\/\/blog.startx.team\/pictures\/phishing-form.png",
"https:\/\/blog.startx.team\/pictures\/four-copies.png",
"https:\/\/blog.startx.team\/pictures\/zhem-abuse.png"
]
}
},
{
"id": "314",
"url": "https:\/\/blog.startx.team\/all\/fishing-posle-otklyucheniya-makrosov\/",
"title": "Фишинг после отключения макросов",
"content_html": "\n
![\"\"](\"https:\/\/blog.startx.team\/pictures\/long.png\")
\n<\/div>\nВ чем суть<\/h3>\n
После того как Microsoft анонсировал отключение макросов, файлы с ними стали реже рассылаться в фишинговых письмах. Но злоумышленники активнее прибегают к другим способам доставки вредоносного ПО.<\/p>\n
Отключение макросов<\/h3>\n
В этом году Microsoft ввёл ограничения на запуск макросов, которые оставались распространённым способом заражения компьютеров. С января в новой версии Excel по умолчанию отключены макросы версии Excel 4.0 (XLM). А с апреля компания начала внедрять ограничение для VBA-макросов — они будут по умолчанию отключены в загруженных из интернета документах Access, Excel, PowerPoint, Visio и Word.<\/p>\n
На практике это ограничение означает, что, открывая файл с макросом из сети, пользователь увидит предупреждение и не сможет запустить вредоносный код одним нажатием на кнопку.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/fishing-posle-otklyucheniya-makrosov-2.png\")
\nС новой политикой Microsoft предупреждения в Excel показываются по-разному для файлов с макросами из и не из интернета.<\/div>\n<\/div>\nКак приспосабливаются злоумышленники<\/h3>\n
Согласно оценке Proofpoint<\/a>, на фоне новой политики Microsoft хакерские группы стали реже рассылать в качестве вложений в фишинговых письмах непосредственно файлы с макросами. С октября 2021 по июнь 2022 количество таких вложений сократилось примерно 66%.<\/p>\n
Вместо этого злоумышленники помещают документы с макросами в файлы-контейнеры (ISO, RAR, ZIP). Это один из способов обойти механизм Mark-of-the-Web (MOTW), с помощью которого файл помечается как скачанный из интернета. Когда документ с макросом помещается в контейнер, этот архив или образ получает метку MOTW. Но метка не всегда передаётся файлам внутри архива, поэтому система не опознаёт содержимое как полученное из сети и позволяет пользователю запустить макрос по одному клику.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/fishing-posle-otklyucheniya-makrosov.png\")
\nГрафик от Proofpoint<\/a> показывает рост использования файлов-контейнеров и снижения использования файлов с макросами в качестве вложений в письма с октября 2021 по июнь 2022.<\/div>\n<\/div>\nНо ещё чаще злоумышленники отказываются от макросов и доставляют вредоносное ПО через файлы-ярлыки (LNK). С точки зрения злоумышленника, преимущество LNK перед файлом с макросом в том, что от пользователя не потребуется дополнительных действий и разрешений: вредоносный код запустится уже при открытии LNK-файла. LNK может быть как непосредственным вложением в фишинговом письме, так и содержимым архива или образа.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/image-138.png\")
\nПо данным Proofpoint<\/a>, с октября 2021 по июнь 2022 количество отслеживаемых ими кампаний, в которых использовались LNK-файлы увеличилось более чем в 17 раз.<\/div>\n<\/div>\nСовет<\/h3>\n
Не открывайте вложения, которых не ждёте и которые вызывают сомнения.<\/p>\n
<\/div>Источники:<\/i>
\nhttps:\/\/www.proofpoint.com\/uk\/blog\/threat-insight\/how-threat-actors-are-adapting-post-macro-world<\/a>
\nhttps:\/\/www.mcafee.com\/blogs\/other-blogs\/mcafee-labs\/rise-of-lnk-shortcut-files-malware\/<\/a>
\nhttps:\/\/thedfirreport.com\/2022\/08\/08\/bumblebee-roasts-its-way-to-domain-admin\/<\/a><\/p>\n", "date_published": "2022-08-11T13:56:35+03:00", "date_modified": "2022-08-11T14:00:43+03:00", "image": "https:\/\/blog.startx.team\/pictures\/long.png", "_date_published_rfc2822": "Thu, 11 Aug 2022 13:56:35 +0300", "_rss_guid_is_permalink": "false", "_rss_guid": "314", "_e2_data": { "is_favourite": false, "links_required": [], "og_images": [ "https:\/\/blog.startx.team\/pictures\/long.png", "https:\/\/blog.startx.team\/pictures\/fishing-posle-otklyucheniya-makrosov-2.png", "https:\/\/blog.startx.team\/pictures\/fishing-posle-otklyucheniya-makrosov.png", "https:\/\/blog.startx.team\/pictures\/image-138.png" ] } }, { "id": "307", "url": "https:\/\/blog.startx.team\/all\/zloumyshlenniki-rasprostranyayut-bankovskiy-troyan-cherez-yandek\/", "title": "Злоумышленники распространяют банковский троян через Яндекс.Формы", "content_html": "\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/antph-attack-scheme2.png\")
\n<\/div>\nВ чем суть<\/h3>\n
В известной англоязычной фишинговой схеме для доставки вредоносных файлов начали использовать ссылки на Яндекс.Формы.<\/p>\n
Глазами жертвы<\/h3>\n
Владелец сайта получает письмо через форму обратной связи. Отправитель представляется правообладателем изображений, которые якобы незаконно размещены на сайте, и под угрозой иска требует их удалить. Письмо содержит ссылку на страницу Яндекс.Форм, откуда скачивается файл с «доказательствами» нарушения. В реальности жертва получает ISO-образ, содержащий вредоносную библиотеку. Если её запустить, на компьютер будет установлен банковский троян IcedID.<\/p>\n
\n\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/yandex-forms.jpg\")
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/iso-file.jpg\")
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/shortcut-properties.jpg\")
\n<\/div>\n<\/div>\nОсобенности атаки<\/h3>\n
Атаку сложнее обнаружить из-за того, что ссылка ведёт на легитимный сервис Яндекс.Формы.<\/p>\n
Совет<\/h3>\n
Если вы получили такое письмо, остановитесь и подумайте, могло ли оно действительно вам прийти. Проверьте достоверность через другой канал, например, напишите отправителю на официальную почту.<\/p>\n
<\/div>Источник:<\/i> Bleeping Computer<\/a><\/p>\n", "date_published": "2022-07-13T16:54:13+03:00", "date_modified": "2022-07-13T16:53:51+03:00", "image": "https:\/\/blog.startx.team\/pictures\/antph-attack-scheme2.png", "_date_published_rfc2822": "Wed, 13 Jul 2022 16:54:13 +0300", "_rss_guid_is_permalink": "false", "_rss_guid": "307", "_e2_data": { "is_favourite": false, "links_required": [ "system\/library\/jquery\/jquery.js", "system\/library\/fotorama\/fotorama.css", "system\/library\/fotorama\/fotorama.js" ], "og_images": [ "https:\/\/blog.startx.team\/pictures\/antph-attack-scheme2.png", "https:\/\/blog.startx.team\/pictures\/yandex-forms.jpg", "https:\/\/blog.startx.team\/pictures\/iso-file.jpg", "https:\/\/blog.startx.team\/pictures\/shortcut-properties.jpg" ] } }, { "id": "302", "url": "https:\/\/blog.startx.team\/all\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel\/", "title": "Новый способ маскировки фишинговых ссылок для обмана пользователей и для обхода систем защиты", "content_html": "
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/antph-attack-scheme-1.png\")
\n<\/div>\nВ чем суть<\/h3>\n
Фишинговые атаки с новым способом маскировки ссылок, который позволяет обойти системы защиты электронной почты.<\/p>\n
Глазами жертвы<\/h3>\n
Сотрудники телекомов, веб-сервисов и финансовых организаций получали письмо под видом уведомления от Microsoft. В письме предлагалось посмотреть непрочитанные сообщение.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel.png\")
\n<\/div>\nПереход по ссылке из письма вёл на фишинговый сайт. Если сотрудник вводил там логин и пароль, они доставались мошенникам.<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel-1.png\")
\n<\/div>\nОсобенность атаки<\/h3>\n
Нестандартный формат самой ссылки. В отличие от обычного адреса сайта здесь используется символ @, за которым следует реальная ссылка:<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel-2.png\")
\n<\/div>\nЗлоумышленники добавляют его для маскировки, потому что многие системы безопасности электронной почты не распознают в качестве URL-адреса текст, если в нём содержится этот символ, и, следовательно, не обнаруживают фишинговую ссылку. Но браузеры, например, Chrome или Edge, игнорируют всё, что идёт до @, и переводят сотрудника на поддельный сайт.<\/p>\n
<\/div>Источники:<\/i> Perception Point<\/a>, Threatpost<\/a><\/p>\n", "date_published": "2022-06-10T12:08:31+03:00", "date_modified": "2022-06-10T12:08:11+03:00", "image": "https:\/\/blog.startx.team\/pictures\/antph-attack-scheme-1.png", "_date_published_rfc2822": "Fri, 10 Jun 2022 12:08:31 +0300", "_rss_guid_is_permalink": "false", "_rss_guid": "302", "_e2_data": { "is_favourite": false, "links_required": [], "og_images": [ "https:\/\/blog.startx.team\/pictures\/antph-attack-scheme-1.png", "https:\/\/blog.startx.team\/pictures\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel.png", "https:\/\/blog.startx.team\/pictures\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel-1.png", "https:\/\/blog.startx.team\/pictures\/novy-sposob-maskirovki-fishingovyh-ssylok-dlya-obmana-polzovatel-2.png" ] } }, { "id": "134", "url": "https:\/\/blog.startx.team\/all\/reveal-scam-caller\/", "title": "Антифишинг-разбор: звонок из «службы безопасности банка»", "content_html": "
\r\n Мошенники придумывают всё новые способы обмануть людей. Вместе с психологом мы разбираем, почему эти способы бывают успешны и что делать, чтобы не стать жертвой.<\/i>\r\n<\/p>\n
\r\n
![](\"\/pictures\/andrey2.jpg\")
\r\n Андрей Жаркевич<\/a>
редактор
\r\n![](\"https:\/\/blog.antiphish.ru\/pictures\/olga.jpg\")
\r\nОльга Лимонова<\/a>
психолог
\r\n<\/p>\nОдин из массовых и популярных в последнее время способов — звонок из «службы безопасности банка».<\/p>\n
Пример №1<\/h2>\n
Вариант такой атаки — с подделкой исходящего номера, когда у жертвы на телефоне высвечивается настоящий номер банка:<\/p>\n
![](\"https:\/\/blog.antiphish.ru\/pictures\/IMG_0463-2.jpeg\")
<\/p>\nПослушайте, как разговаривают мошенники:<\/p>\n
\nРазговор с мошенником<\/a><\/div>\n<\/div>\nПример №2<\/h2>\n
Таким же способом пытались обмануть Андрея Золотова, который не только не поддался на обман, но и рассказал эту историю на своей странице а соцсети.<\/p>\n
рассказал эту историю на своей Facebook-странице)):<\/p>\n
Разбор<\/h2>\n
Мы разобрали атаку мошенников по стадиям воздействия в соответствии с психологической моделью<\/a>, которая разработана и используется специалистами Антифишинга:<\/p>\n
\n![\"\"](\"https:\/\/blog.startx.team\/pictures\/af-attack-stages.png\")
\n<\/div>\nНиже — детальные результаты:<\/p>\n
1. Внешний вид<\/h2>\n
- \n
- Узнаваемый авторитетный бренд, правдоподобное оформление: Номер телефона мошенников маскируется под настоящий. Во втором эпизоде у жертвы он был сохранен в записной книжке как «Поддержка ВТБ». Представляются службой безопасности банка. Используют классические шаблонные фразы сотрудников банка.<\/li>\n
- Личное обращение: Персональное<\/b> — «Золотов Андрей Васильевич», знают дату рождения.<\/li>\n
- Атрибуция: Личная<\/b> — Жертва является клиентом банка.<\/li>\n<\/ul>\n
2. Эмоциональное воздействие<\/h2>\n
Вызываемые эмоции:<\/p>\n
- \n
- Страх<\/b>: «Вы сейчас переводили 42 тысячи Кузнецовой Марии в Самарскую область?», «Вам нужно заблокировать и перевыпустить все карты, сменить компьютер. В личный кабинет сейчас не заходите, доступ к нему мы тоже заблокировали в целях безопасности»,<\/li>\n
- Радость\/Благодарность<\/b>: «Так как платеж был помечен, как сомнительный, он заморожен».<\/li>\n<\/ul>\n
Усилители:<\/p>\n
- \n
- Авторитет<\/b>: звонок от службы безопасности крупного банка<\/li>\n
- Срочность<\/b> — платеж заморожен только на 10 минут.<\/li>\n
- Ситуация-катастрофа<\/b>: «Злоумышленники получили доступ к вашему интернет-банку и сейчас пытаются оттуда вывести деньги!»<\/li>\n<\/ul>\n
3. Личностные черты и опыт пользователя<\/h2>\n
- \n
- Личностные черты<\/b>: Нельзя определить точно. Можно лишь отметить, что бдительность автора была усыплена? и он был достаточно доброжелателен в беседе, лишь под конец проявив подозрительность. Следование исключительно собственным правилам, вне зависимости от ситуации.<\/li>\n
- Актуальная потребность: Безопасность<\/b>. Ею пытаются манипулировать сначала со стороны заботы (наиболее оптимальная тактика), затем используя уговаривание, а далее и вовсе угрозы.<\/li>\n
- Демографические характеристики: Взрослый мужчина, программист<\/b> — не лучшая аудитория среди жертв.<\/li>\n
- Опыт столкновения с цифровыми атаками<\/b>: Технически подкован и знаком с основами информационной безопасности<\/li>\n<\/ul>\n
4. Активация внимания и мышления<\/h2>\n
- \n
- Генерализация гипотезы<\/b>: Возможно это мошенники?<\/li>\n
- Проверка гипотезы<\/b>: Для этого стоит перезвонить в банк самому, прежде чем куда либо вводить код<\/li>\n
- Оценка рисков<\/b>: Перезвонить — затрата меньше чем в одну минуту. Передача данных мошенникам — потери в денежном эквиваленте.<\/li>\n
- Глобальная оценка<\/b>: Не стоит вестись на угрозы и срочность, лучше самому перезвонить в банк.<\/li>\n<\/ul>\n
5. Реакция<\/h2>\n
- \n
- Звонок на официальный номер банка с уточнением ситуации<\/li>\n
- Зафиксировали, с какого ip действовал мошенник, и составили заявку в службу безопасности банка<\/li>\n<\/ul>\n
Чем хороши мошенники?<\/h2>\n
- \n
- Первичная манипуляция действиями: «проверьте свои карты — все ли они на месте». Если человек выполнил действие по указке раз, то шанс, что выполнит повторно, повышается.<\/li>\n
- Выстраивание отношения\/транзакции «Родитель» (управляющий мошенник) — «Ребенок» (подчиняющаяся, следующая указам жертва).<\/li>\n
- Маскировка под официальный телефонный номер<\/li>\n
- Использование классических шаблонных фраз сотрудников банка<\/li>\n
- Ввод кода в тоновом режиме, а не голосом оператору. Это вызывает меньше подозрений, поскольку практически не используется.<\/li>\n<\/ul>\n
Чем выдали себя мошенники?<\/h2>\n
- \n
- Срочность<\/b><\/li>\n
- Техническая неграмотность<\/b>. Устрашение «покупкой нового компьютера» — это ориентировано на пенсионеров, которые слабо ориентируются в технической среде и действительно готовы поверить и испугаться денежных затрат.<\/li>\n
- Путаница в словах<\/b><\/li>\n
- Эмоциональная реакция<\/b> самого мошенника, проступающая на вербальном уровне<\/li>\n<\/ul>\n
\n![](\"https:\/\/blog.antiphish.ru\/pictures\/af-logo-blue-200.png\")
\n<\/a><\/p>\n<\/div>О компании «Антифишинг<\/a>»<\/b>
\n
Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.<\/p>\n\r\n Заполните форму на сайте<\/a> или напишите нам<\/a>, чтобы обучить и проверить своих сотрудников.<\/p>\n<\/div><\/div><\/div>\r\n
- Техническая неграмотность<\/b>. Устрашение «покупкой нового компьютера» — это ориентировано на пенсионеров, которые слабо ориентируются в технической среде и действительно готовы поверить и испугаться денежных затрат.<\/li>\n
- Срочность<\/b><\/li>\n
- Проверка гипотезы<\/b>: Для этого стоит перезвонить в банк самому, прежде чем куда либо вводить код<\/li>\n
- Актуальная потребность: Безопасность<\/b>. Ею пытаются манипулировать сначала со стороны заботы (наиболее оптимальная тактика), затем используя уговаривание, а далее и вовсе угрозы.<\/li>\n
- Срочность<\/b> — платеж заморожен только на 10 минут.<\/li>\n
- Радость\/Благодарность<\/b>: «Так как платеж был помечен, как сомнительный, он заморожен».<\/li>\n<\/ul>\n
- Атрибуция: Личная<\/b> — Жертва является клиентом банка.<\/li>\n<\/ul>\n
- Для блокирования поддельного сайта сообщите о нём через систему мониторинга фишинговых сайтов Минцифры<\/a>.<\/li>\n<\/ol>\n",
"date_published": "2022-08-29T11:21:40+03:00",
"date_modified": "2022-09-06T17:02:39+03:00",
"image": "https:\/\/blog.startx.team\/pictures\/sochi-park-search-results.png",
"_date_published_rfc2822": "Mon, 29 Aug 2022 11:21:40 +0300",
"_rss_guid_is_permalink": "false",
"_rss_guid": "318",
"_e2_data": {
"is_favourite": false,
"links_required": [],
"og_images": [
"https:\/\/blog.startx.team\/pictures\/sochi-park-search-results.png",
"https:\/\/blog.startx.team\/pictures\/search-ad-zhem.png",
"https:\/\/blog.startx.team\/pictures\/4-zhems.png",
"https:\/\/blog.startx.team\/pictures\/phishing-form.png",
"https:\/\/blog.startx.team\/pictures\/four-copies.png",
"https:\/\/blog.startx.team\/pictures\/zhem-abuse.png"
]
}
},
{
"id": "314",
"url": "https:\/\/blog.startx.team\/all\/fishing-posle-otklyucheniya-makrosov\/",
"title": "Фишинг после отключения макросов",
"content_html": "
- Если ссылка на поддельный сайт попалась вам в интернет-поиске, то вы можете сообщить о ней непосредственно поисковику, например Яндексу или Google.<\/li>\n<\/ol>\n
- Поищите подтверждение, что адрес настоящий, в заслуживающих доверия источниках<\/b>: в верифицированном сообществе отеля в соцсетях, на рекламной продукции отеля, через турагентство, напрямую у отеля, если у вас есть контактный телефон. Помните, что на поддельном сайте будут указаны ненастоящие контактные данные организации.<\/li>\n
- Через туроператора или агентство с хорошей репутацией<\/b>. Некоторые отели эксклюзивно работают с одним или несколькими туроператорами, поэтому обратиться к ним будет выгоднее и надёжнее всего.<\/li>\n
- Подозрительный адрес отправителя<\/b>. Письмо пришло либо с бесплатного почтового ящика: @yandex.ru, @mail.ru, @gmail.com и пр. либо, как в данном случае, с недавно зарегистрированного домена @research-analysis.ru, который не относится к ПАО «Магнит» — АО «Тандер».<\/li>\n
- Новый контрагент<\/b>. С этой фирмой вы раньше не работали. Это всегда должно настораживать, даже если название у всех на слуху. Свяжитесь с компанией, от имени которой предлагают участие в тендере, по контактам с официального сайта, и уточните, проводится ли такая закупка;<\/li>\n
- При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.<\/li>\n<\/ol>\n
- Начинается с сообщения с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».<\/li>\n<\/ol>\n
- На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
- При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.<\/li>\n<\/ol>\n
![](\"https:\/\/blog.antiphish.ru\/pictures\/iconfinder_social-56_1591869.png\")
\r\n <\/a>\r\n <\/div>\r\n