В Рунете появилось несколько десятков доменов, названия которых отсылаются к брендам московских энергетических компаний, в том числе «Мосгазу» и «Мосэнергосбыту», пишет «Коммерсант», уточняя, что многие сайты еще не имеют наполнения и не продвигаются в поисковой выдаче.
По словам ведущего аналитика «СерчИнформ» Леонида Чурикова, в зоне .ru наблюдается «некоторый всплеск» регистраций доменов, содержащих комбинации вроде rusgaz, mosgaz, energo: все сайты появились в первых числах сентября и сейчас их около двух-трех десятков. «Возможно, их время еще не пришло — например, фишинговая кампания может стартовать в отопительный сезон», — отметил он. Ранее мэр Москвы Сергей Собянин объявил, что отопление в жилых домах Москвы начнут подавать с 13 сентября.
По данным Telegram-канала In4security, сейчас насчитывается около 15 доменов, упоминающих в названии АО «Мосгаз». Как рассказал сооснователь StopPhish Юрий Другач, подобные сайты начали появляться еще в июле, но в сентябре их число возросло до нескольких десятков. Упомянутые сайты не несут никакой информации о газовом обслуживании, а преследуют цель ввести в заблуждение граждан, заявили в пресс-службе АО «Мосгаз». В компании призывают доверять официальным источникам — сайту mos-gaz.ru и указанным на нем ссылкам на соцсети.
Сканы паспортов 1,3 млн российских клиентов косметической компании Oriflame выставлены на продажу на теневой площадке RaidForums, пишет «Коммерсант». На сайте самой компании сообщается, что 31 июля и 1 августа она подверглась серии кибератак, которые привели к несанкционированному доступу к информационным системам компании.
24.08.2021 10:15Некоторые сайты, копирующие «Мосгаз», пустуют, недоступны, наполнены рекламой несуществующих бизнес-тренингов, переадресовывают на Facebook* или предлагают ввести почту и номер телефона, уточнил Леонид Чуриков. По его словам, наполнение сайтов отличается в зависимости от того, из какого региона подключается пользователь: с территории РФ открываются потенциально фишинговые страницы, а пользователей из-за рубежа переадресует на случайные страницы. Метод, при котором разный контент показывается в зависимости от региона, устройства или браузера, с которого заходит пользователь, называется клоакинг: обычно этот способ используется для обмана поисковых систем при продвижении сайта, объяснил Другач.
Часть зарегистрированных по новой схеме сайтов похожа на «классический фишинг»: например, сайт mosenergosbut.ru представляет собой подделку под сайт «Мосэнергосбыта» mosenergosbyt.ru, уточнил Чуриков. По-видимому, полагает он, злоумышленники преследуют цель собрать учетные данные пользователей — логины, телефоны, почты, пароли. На других сайтах, упоминающих в названии «Мосэнерго», идет атака уже на сотрудников компании, отмечают эксперты In4security. Так, на одном из сайтов предлагается ввести логин и пароль для доступа к медицинской карте работника.
Завладев данными, злоумышленники будут либо собирать конфиденциальную информацию организации, либо могут заразить их IT-ресурсы вирусом-шифровальщиком, полагает Другач. «Так как это целевая атака, злоумышленники могли распространять ссылки на сайты путем рассылки по базе e-mail сотрудников организации: в открытом доступе их 73. Это немного, но, чтобы взломать IT-инфраструктуру, достаточно одной — трех учетных записей», — предупредил он, добавив, что если атака не даст результата, то будут предприняты попытки взломать организацию, например, с помощью рассылки о новогодней премии для сотрудников.
Преступники начали представляться сотрудниками Роскомнадзора (РКН), пишут «Известия». Злоумышленники звонят потенциальной жертве и сообщают, что кто-то пытается сменить абонентский номер, предлагают сразу же оформить заявление и проверить, не используют ли третьи лица персональные данные пользователя.
09.09.2021 08:45*Сервис/сервисы, принадлежащие Meta, признанной в РФ экстремистской организацией, деятельность которой запрещена на территории РФ
