Блог Start X: заметки с тегом разбор

Как защитить свой аккаунт в Telegram: два шага, которые нужно сделать прямо сейчас

Start X — Tue, 20 Dec 2022 16:26:12 +0300

Что происходит?

Пользователи мессенджера Telegram начали сталкиваться с массовыми попытками взлома их аккаунтов. Рассмотрим две мошеннических схемы, расскажем, как защитить свой аккаунт и что делать, если уже отправили код.

Схема № 1

Пользователь получает сообщение от одного из своих контактов якобы с подарком подписки на Telegram Premium.

При нажатии на кнопку «Получить Telegram Premium» в служебный чат Telegram приходит код авторизации, а пользователь попадает в бот, который просит ввести этот код, чтобы активировать премиум-подписку.

На самом деле вместо подписки злоумышленник пытается авторизоваться в Telegram-аккаунте жертвы со своего устройства. Для этого и требуется код.
Если ввести его, мошенник получит доступ в аккаунт жертвы, ко всем её контактам и перепискам.
Злоумышленник рассылает аналогичные сообщения по списку контактов уже от имени взломанного пользователя, а затем удаляет их из списка отправленных, чтобы жертва ничего не заподозрила. У получателей сообщение остаётся.
Мошенник сохраняет полный доступ к взломанному Telegram-аккаунту со своего устройства, пока жертва не обнаружит его присутствие и не удалит посторонний гаджет из списка авторизованных.

Схема № 2

Начинается с сообщения с просьбой поддержать ребенка (крестницу, племянника) в детском конкурсе рисунков и проголосовать за работу на странице «интернет-соревнования».

При переходе по ссылке пользователь попадает на страницу фейкового конкурса, где его просят ввести код для авторизации.

Если ввести код авторизации от Telegram на этой странице, злоумышленники войдут в аккаунт со своего устройства.
По контактам взломанных аккаунтов и чатам, в которых состояли их владельцы, рассылается мошенническое сообщение.
С новыми взломанными учетными записями схема повторяется.

Что делать, если я уже перешел по ссылке и отправил код?

Зайдите в «Настройки», выберите «Устройства» и нажмите на ссылку «Завершить другие сеансы». После этого включите двухфакторную аутентификацию.

Как защитить свой аккаунт от таких атак?

Настройте двухфакторную аутентификацию. С ней даже после ввода кода злоумышленникам нужно будет ввести пароль, который знаете только вы:

Откройте Telegram и перейдите на вкладку «Настройки»;
Перейдите в раздел «Конфиденциальность»;
Перейдите в меню «Облачный пароль»;
Выберите «Установить пароль»;
Придумайте надежный пароль или кодовую фразу и подтвердите создание пароля.

Разбор мошеннической схемы: дорогой сертификат для участия в поддельном аукционе

Start X — Fri, 16 Dec 2022 15:23:18 +0300

Мошенники вновь атакуют предпринимателей предложениями принять участие в поддельных аукционах. В прошлый раз такая волна мошенничеств прокатилась по стране около года назад. Тогда мошенники обращались от лица ПАО «Газпром», ПАО «НК Роснефть», ОАО «РЖД» и других крупных компаний. У ПАО «Роснефть» даже есть анонс об этом мошенничестве.

Злоумышленники усовершенствовали схему: на начальном этапе они предоставляют вполне реальную документацию, скачанную из официальных источников. Доверия к ним добавляет и то, что обращаться они стали строго в профильные фирмы. В данном случае мошенники прислали запрос от лица ПАО «Магнит» — АО «Тандер» на оказание услуг спортивного клуба.

После непродолжительной переписки мошенники сообщают, что компания прошла отбор и выиграла конкурс. Для заключения договора и оплаты услуг нужно прислать документы в соответствии со списком.

Но оказывается, что одного очень важного документа из списка не хватает. Это сертификат, удостоверяющий соответствие требованиям Системы добровольной сертификации «Система Контроля Оценки Качества».
Мошенники предлагают самостоятельно пройти проверку в аккредитованных организациях и получить требуемый документ. Для этого предлагают воспользоваться поиском через Яндекс.

Поиск организации, оказывающей такую услугу, приведет на сайт компании мошенников, все остальные результаты в ЯндексПоиске — зеркала или дочки. Бенефициар один. Мошенники настраивают контекстную рекламу и выводят с помощью SEO в топ запросов сайты, которые сделаны под эту услугу. Поэтому и ссылок не требуется.

При обращении в такой центр сертификации, оказывается, что стоимость данной услуги 55 000 рублей. На фоне ожидаемой суммы контракта цена кажется малозначительной, и жертва оплачивает услуги. После этого мошенники, приглашавшие к участию в тендере, исчезают.

Как понять, что участие в тендере вам предлагают мошенники:

Новый контрагент. С этой фирмой вы раньше не работали. Это всегда должно настораживать, даже если название у всех на слуху. Свяжитесь с компанией, от имени которой предлагают участие в тендере, по контактам с официального сайта, и уточните, проводится ли такая закупка;
Подозрительный адрес отправителя. Письмо пришло либо с бесплатного почтового ящика: @yandex.ru, @mail.ru, @gmail.com и пр. либо, как в данном случае, с недавно зарегистрированного домена @research-analysis.ru, который не относится к ПАО «Магнит» — АО «Тандер».
Большая сумма контракта. Сумма контракта выгоднее рыночной, обещают полную предоплату. Мошенники надеются на жадность и рассчитывают, что эмоции помешают получателю письма мыслить рационально.
До получения денег — один шаг. С вами готовы заключить контракт и перевести предоплату, но мешает какая-то формальность — отсутствие нужного сертификата. Однако преодолеть препятствие можно легко и быстро — достаточно заплатить сумму, которая кажется небольшой по сравнению с прибылью от сделки.

Как безопасно забронировать гостиницу

Start X — Mon, 29 Aug 2022 11:21:40 +0300

После ухода из России привычных сервисов Booking и Airbnb перед многими встал вопрос: как теперь безопасно забронировать нормальную гостиницу?

Одна из проблем, с которой могут столкнуться россияне, планирующие отдых, — поддельные сайты отелей, которые трудно отличить от настоящих. Если человек попытается снять жильё на таком ресурсе, то он может потерять деньги или, как минимум, получить неприятные впечатления и испортить поездку.

В этой статье мы разберём, на что нужно обратить внимание при бронировании проживания, чтобы вы получили нужный номер и не отдали деньги мошенникам.

Как люди обычно ищут гостиницу

Если вы ещё не знаете, где хотите остановиться, или у вас нет адреса официального сайта гостиницы, вы, скорее всего, начнёте с поиска в интернете. Например, введёте в поисковике название отеля или города.

Однако в поисковой выдаче могут попадаться не только настоящие, но и поддельные сайты гостиниц. Для их продвижения используется в том числе контекстная реклама.

У «Сочи Парк Отеля» нет официального сайта, а в числе первых результатов поиска попадаются мошеннический сайт (park-sochi-hotel[.]com) и сайт-посредник (sochipark-hotel[.]ru).

С помощью рекламы фишинговые сайты мошенников могут попадать даже на баннер над подсказками в самой строке поиска. Поисковые сервисы (Google, Яндекс) удаляют такие результаты, но пока их не обнаружат, пользователи могут спутать такой сайт с настоящим.

Фишинговый сайт в виде рекламного баннера над подсказками в строке поиска в Яндексе.

Помимо поисковика вы также можете увидеть выгодное предложение
в тематических сообществах Telegram, VK и в других соцсетях. Но и здесь никто не застрахован от ссылок на поддельные сайты.

В чём опасность поддельных сайтов

Разберём два типичных случая, когда человек может попасть на поддельный сайт гостиницы.

Фишинговые сайты

Первый случай — это фишинговые сайты, с помощью которых мошенники стремятся украсть у жертв деньги. Например, в июле житель Салехарда потерял так 113 тысяч рублей.

Мошенники создают фишинговые сайты популярных гостиниц для кражи денег под видом бронирования жилья на отпуск. Специалисты Group-IB насчитали более 30 действующих фишинговых ресурсов, копирующих сочинские отели.

Злоумышленники копируют сайт известной гостиницы, например, такой как «Сочи Парк Отель» или «Жемчужина». Внешний вид сайта может полностью или частично повторять оригинал, при этом на нём указываются другие контактные данные.

Три мошеннических сайта гостиницы «Жемчужина» полностью копируют её официальный сайт (zhem.ru) и размещены по адресам, в которых используется её название: hotels-zhem[.]com, sochi-zhemchuzhina[.]com, zhem-hotel-sochi[.]com.

Выбрав вариант проживания на мошенническом сайте, пользователь попадает на страницу с фишинговой формой, где ему предлагается ввести данные банковской карты якобы для оплаты бронирования. Если человек введёт их, злоумышленник сможет украсть деньги с его счёта. В других случаях мошенники могут предлагать произвести оплату по QR-коду через Систему быстрых платежей. Но фактически это будет перевод денег мошеннику.

Фишинговая форма оплаты заказа на поддельном сайте гостиницы «Жемчужина».

Посреднические сайты

Второй случай — сайты-посредники, которые создаются турфирмами для привлечения клиентов. Они не являются фишинговыми, поскольку их создатели не стремятся украсть деньги. Однако они также имитируют сайты реальных гостиниц и стремятся создать у клиентов ложное впечатление, что те бронируют номер напрямую у желаемого отеля.

В отличие от других организаций, оказывающих посреднические услуги по бронированию проживания, таких как турагентства или агрегаторы вроде Слетать.ру или Турвизора, создатели сайтов-посредников стараются скрыть свою роль и выдать себя за представителей отелей.

Под каждый отель создаётся отдельный сайт на уникальном домене и с информацией о соответствующем месте размещения. При общении менеджеры не уточняют, что бронирование будет оформляться через посредника.

Мы обнаружили более 200 сайтов-посредников, созданных по одному макету. Каждый из них имитирует сайт отдельной гостиницы и размещается на уникальном домене, в котором используется название соответствующего места. Например, отелей «Лазурный берег», Lafer Renaissance, City Park Hotel Sochi и Корпоративного центра Сбербанка.

В лучшем случае при бронировании через такого посредника человек получит желаемый номер по более высокой стоимости, чем при заказе напрямую у отеля. Но он может столкнуться и с тем, что ему предложат номер другой категории или в другом отеле нежели тот, который был «забронирован» изначально. Проблемы могут возникнуть при попытке изменить бронирование или вернуть деньги.

Фишинг после отключения макросов

Start X — Thu, 11 Aug 2022 13:56:35 +0300

В чем суть

После того как Microsoft анонсировал отключение макросов, файлы с ними стали реже рассылаться в фишинговых письмах. Но злоумышленники активнее прибегают к другим способам доставки вредоносного ПО.

Отключение макросов

В этом году Microsoft ввёл ограничения на запуск макросов, которые оставались распространённым способом заражения компьютеров. С января в новой версии Excel по умолчанию отключены макросы версии Excel 4.0 (XLM). А с апреля компания начала внедрять ограничение для VBA-макросов — они будут по умолчанию отключены в загруженных из интернета документах Access, Excel, PowerPoint, Visio и Word.

На практике это ограничение означает, что, открывая файл с макросом из сети, пользователь увидит предупреждение и не сможет запустить вредоносный код одним нажатием на кнопку.

С новой политикой Microsoft предупреждения в Excel показываются по-разному для файлов с макросами из и не из интернета.

Как приспосабливаются злоумышленники

Согласно оценке Proofpoint, на фоне новой политики Microsoft хакерские группы стали реже рассылать в качестве вложений в фишинговых письмах непосредственно файлы с макросами. С октября 2021 по июнь 2022 количество таких вложений сократилось примерно 66%.

Вместо этого злоумышленники помещают документы с макросами в файлы-контейнеры (ISO, RAR, ZIP). Это один из способов обойти механизм Mark-of-the-Web (MOTW), с помощью которого файл помечается как скачанный из интернета. Когда документ с макросом помещается в контейнер, этот архив или образ получает метку MOTW. Но метка не всегда передаётся файлам внутри архива, поэтому система не опознаёт содержимое как полученное из сети и позволяет пользователю запустить макрос по одному клику.

График от Proofpoint показывает рост использования файлов-контейнеров и снижения использования файлов с макросами в качестве вложений в письма с октября 2021 по июнь 2022.

Но ещё чаще злоумышленники отказываются от макросов и доставляют вредоносное ПО через файлы-ярлыки (LNK). С точки зрения злоумышленника, преимущество LNK перед файлом с макросом в том, что от пользователя не потребуется дополнительных действий и разрешений: вредоносный код запустится уже при открытии LNK-файла. LNK может быть как непосредственным вложением в фишинговом письме, так и содержимым архива или образа.

По данным Proofpoint, с октября 2021 по июнь 2022 количество отслеживаемых ими кампаний, в которых использовались LNK-файлы увеличилось более чем в 17 раз.

Совет

Не открывайте вложения, которых не ждёте и которые вызывают сомнения.

Источники:
https://www.proofpoint.com/uk/blog/threat-insight/how-threat-actors-are-adapting-post-macro-world
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/rise-of-lnk-shortcut-files-malware/
https://thedfirreport.com/2022/08/08/bumblebee-roasts-its-way-to-domain-admin/

Злоумышленники распространяют банковский троян через Яндекс.Формы

Start X — Wed, 13 Jul 2022 16:54:13 +0300

В чем суть

В известной англоязычной фишинговой схеме для доставки вредоносных файлов начали использовать ссылки на Яндекс.Формы.

Глазами жертвы

Владелец сайта получает письмо через форму обратной связи. Отправитель представляется правообладателем изображений, которые якобы незаконно размещены на сайте, и под угрозой иска требует их удалить. Письмо содержит ссылку на страницу Яндекс.Форм, откуда скачивается файл с «доказательствами» нарушения. В реальности жертва получает ISO-образ, содержащий вредоносную библиотеку. Если её запустить, на компьютер будет установлен банковский троян IcedID.

Особенности атаки

Атаку сложнее обнаружить из-за того, что ссылка ведёт на легитимный сервис Яндекс.Формы.

Совет

Если вы получили такое письмо, остановитесь и подумайте, могло ли оно действительно вам прийти. Проверьте достоверность через другой канал, например, напишите отправителю на официальную почту.

Источник: Bleeping Computer

Новый способ маскировки фишинговых ссылок для обмана пользователей и для обхода систем защиты

Start X — Fri, 10 Jun 2022 12:08:31 +0300

В чем суть

Фишинговые атаки с новым способом маскировки ссылок, который позволяет обойти системы защиты электронной почты.

Глазами жертвы

Сотрудники телекомов, веб-сервисов и финансовых организаций получали письмо под видом уведомления от Microsoft. В письме предлагалось посмотреть непрочитанные сообщение.

Переход по ссылке из письма вёл на фишинговый сайт. Если сотрудник вводил там логин и пароль, они доставались мошенникам.

Особенность атаки

Нестандартный формат самой ссылки. В отличие от обычного адреса сайта здесь используется символ @, за которым следует реальная ссылка:

Злоумышленники добавляют его для маскировки, потому что многие системы безопасности электронной почты не распознают в качестве URL-адреса текст, если в нём содержится этот символ, и, следовательно, не обнаруживают фишинговую ссылку. Но браузеры, например, Chrome или Edge, игнорируют всё, что идёт до @, и переводят сотрудника на поддельный сайт.

Источники: Perception Point, Threatpost

Антифишинг-разбор: звонок из «службы безопасности банка»

Start X — Tue, 06 Aug 2019 23:30:30 +0300

Мошенники придумывают всё новые способы обмануть людей. Вместе с психологом мы разбираем, почему эти способы бывают успешны и что делать, чтобы не стать жертвой.

Андрей Жаркевич
редактор

Ольга Лимонова
психолог

Один из массовых и популярных в последнее время способов — звонок из «службы безопасности банка».

Пример №1

Вариант такой атаки — с подделкой исходящего номера, когда у жертвы на телефоне высвечивается настоящий номер банка:

Послушайте, как разговаривают мошенники:

Разговор с мошенником

Пример №2

Таким же способом пытались обмануть Андрея Золотова, который не только не поддался на обман, но и рассказал эту историю на своей странице а соцсети.

рассказал эту историю на своей Facebook-странице)):

Разбор

Мы разобрали атаку мошенников по стадиям воздействия в соответствии с психологической моделью, которая разработана и используется специалистами Антифишинга:

Ниже — детальные результаты:

1. Внешний вид

Узнаваемый авторитетный бренд, правдоподобное оформление: Номер телефона мошенников маскируется под настоящий. Во втором эпизоде у жертвы он был сохранен в записной книжке как «Поддержка ВТБ». Представляются службой безопасности банка. Используют классические шаблонные фразы сотрудников банка.
Личное обращение: Персональное — «Золотов Андрей Васильевич», знают дату рождения.
Атрибуция: Личная — Жертва является клиентом банка.

2. Эмоциональное воздействие

Вызываемые эмоции:

Страх: «Вы сейчас переводили 42 тысячи Кузнецовой Марии в Самарскую область?», «Вам нужно заблокировать и перевыпустить все карты, сменить компьютер. В личный кабинет сейчас не заходите, доступ к нему мы тоже заблокировали в целях безопасности»,
Радость/Благодарность: «Так как платеж был помечен, как сомнительный, он заморожен».

Усилители:

Авторитет: звонок от службы безопасности крупного банка
Срочность — платеж заморожен только на 10 минут.
Ситуация-катастрофа: «Злоумышленники получили доступ к вашему интернет-банку и сейчас пытаются оттуда вывести деньги!»

3. Личностные черты и опыт пользователя

Личностные черты: Нельзя определить точно. Можно лишь отметить, что бдительность автора была усыплена? и он был достаточно доброжелателен в беседе, лишь под конец проявив подозрительность. Следование исключительно собственным правилам, вне зависимости от ситуации.
Актуальная потребность: Безопасность. Ею пытаются манипулировать сначала со стороны заботы (наиболее оптимальная тактика), затем используя уговаривание, а далее и вовсе угрозы.
Демографические характеристики: Взрослый мужчина, программист — не лучшая аудитория среди жертв.
Опыт столкновения с цифровыми атаками: Технически подкован и знаком с основами информационной безопасности

4. Активация внимания и мышления

Генерализация гипотезы: Возможно это мошенники?
Проверка гипотезы: Для этого стоит перезвонить в банк самому, прежде чем куда либо вводить код
Оценка рисков: Перезвонить — затрата меньше чем в одну минуту. Передача данных мошенникам — потери в денежном эквиваленте.
Глобальная оценка: Не стоит вестись на угрозы и срочность, лучше самому перезвонить в банк.

5. Реакция

Звонок на официальный номер банка с уточнением ситуации
Зафиксировали, с какого ip действовал мошенник, и составили заявку в службу безопасности банка

Чем хороши мошенники?

Первичная манипуляция действиями: «проверьте свои карты — все ли они на месте». Если человек выполнил действие по указке раз, то шанс, что выполнит повторно, повышается.
Выстраивание отношения/транзакции «Родитель» (управляющий мошенник) — «Ребенок» (подчиняющаяся, следующая указам жертва).
Маскировка под официальный телефонный номер
Использование классических шаблонных фраз сотрудников банка
Ввод кода в тоновом режиме, а не голосом оператору. Это вызывает меньше подозрений, поскольку практически не используется.

Чем выдали себя мошенники?

Срочность
Техническая неграмотность. Устрашение «покупкой нового компьютера» — это ориентировано на пенсионеров, которые слабо ориентируются в технической среде и действительно готовы поверить и испугаться денежных затрат.
Путаница в словах
Эмоциональная реакция самого мошенника, проступающая на вербальном уровне

О компании «Антифишинг»

Наша платформа помогает обучить сотрудников, измерять и тренировать их навыки с помощью имитированных атак. Ведём исследования, используем собственную методологию, создаем реалистичные сценарии и актуальные примеры мошенничества для тренировки навыков.

Заполните форму на сайте или напишите нам, чтобы обучить и проверить своих сотрудников.

Телеграм-канал Антифишинга

Анонсы дайджестов, наши исследования по психологии в безопасности, новости про фишинг и прочие цифровые атаки на людей.

Материалы, которые помогут вам, вашим коллегам и близким оставаться в безопасности.

Оставайтесь в безопасности

Подпишитесь на рассылку, чтобы знать об актуальных технологиях фишинга и других атаках на человека.

Блог Start X: заметки с тегом разбор

Как защитить свой аккаунт в Telegram: два шага, которые нужно сделать прямо сейчас

Что происходит?

Схема № 1

Схема № 2

Что делать, если я уже перешел по ссылке и отправил код?

Как защитить свой аккаунт от таких атак?

Разбор мошеннической схемы: дорогой сертификат для участия в поддельном аукционе

Как безопасно забронировать гостиницу

Как люди обычно ищут гостиницу

В чём опасность поддельных сайтов

Фишинговые сайты

Посреднические сайты

Рекомендации по безопасному бронированию гостиниц

Где безопасно бронировать

Как определить что сайт отеля официальный, а не поддельный

Куда пожаловаться на фишинговый сайт

Фишинг после отключения макросов

В чем суть

Отключение макросов

Как приспосабливаются злоумышленники

Совет

Злоумышленники распространяют банковский троян через Яндекс.Формы

В чем суть

Глазами жертвы

Особенности атаки

Совет

Новый способ маскировки фишинговых ссылок для обмана пользователей и для обхода систем защиты

В чем суть

Глазами жертвы

Особенность атаки

Антифишинг-разбор: звонок из «службы безопасности банка»

Пример №1

Пример №2

Разбор

1. Внешний вид

2. Эмоциональное воздействие

3. Личностные черты и опыт пользователя

4. Активация внимания и мышления

5. Реакция

Чем хороши мошенники?

Чем выдали себя мошенники?