Всем мы знаем, что для спамеров уже заготовлен отдельный котёл. Однако, любителей поживиться на неграмотности населения, к сожалению, не уменьшается. Сегодня проведем небольшой ликбез о том, как раскусить ушлых разводил. Речь пройдет про такой способ мошенничества как фишинг.
Что такое фишинговое письмо?
Фишинговое письмо — вид кибермошенничества, в котором злоумышленники, путём отправки электронного сообщения, пытаются заполучить личную информацию пользователя — логины пароли, данные банковских карт, номера телефонов.
Таким письма маскируются под рассылку известных сайтов и сервисов — банки, госучреждения, топовые коммерческие фирмы. В общем, под любой узнаваемый бренд.
Содержание письма разное, но практически всегда вам обещают бесплатный заработок или различные блага — только кликни на ссылку, заполни форму, открой документ или загрузи специальные программы. Делать этого категорически нельзя .
Как выглядит фишинговое письмо?
Совсем банальный пример. Простой и не цепляющий текст, адрес отправителя не замаскирован. Обычно антим-спам фильтры сразу такое фильтруют
Фишинг: Как Тинькофф ворует аккаунты Telegram
Пример лучше (используются фирменные цвета банка), письмо хоть чуть-чуть похоже на официальные рассылки. В качестве отправителя указано «Тинькофф анкета». В письме также присутствует логотип.
А это письмо клепали уже матёрые мошенники. Отлично маскируются под Яндекс:
А что тогда не фишинг?
Если письмо не пытается загнать вас на фишинговый сайт, заполнить форму, кликнуть на ссылку или открыть документ, ввести логин/пароль/данные карты, то письмо фишингом не является. Как его классифицировать трудно сказать — технически это скорее обычный спам.
Фишинг или спуфинг?
Многие путают понятия фишинг или спуфинг и под этим есть некоторые основания. Спуфинг в почте — это один из типов фишинга. Именно поддельные формы (похожие на официальные), как в примере с Тиньковым, поддельные адреса отправителя, как в примере с Роспотребнадзором — это и есть спуфинг (spoofing — буквально, подмена).
Мошенники используют методы спуфинга для более убедительного фишинга. Обычно два этих способа комбинируются в письме.
Для закрепления: спуфинг — это всё, что касается подмены заголовков письма или интерфейсов (письма, формы, сайтов). Фишинг — это то, что заставит вас перейти на эту форму и открыть ссылку — текст, картинки и т.п.
Как распознать?
Вас нет в адресатах. Письмо адресовано не вам, но попало в ваш ящик. Волшебства тут никакого нет — отправитель поставил ваш адрес (как множество других) в скрытую копию.
Обещают халяву. Бесплатный сыр бывает только в мышеловке.
Короткие URL.В письме есть ссылки, но они сгенерированы с помощью сервисов коротких ссылок (например, как в нашем примере выше — tinyurl.com). А это значит, что вы не видите, куда вы на самом деле переходите. Этим и пользуются мошенники.
Что такое фишинг и как не попасться? | Генератор QR код на Python
Смотрим свойства письма (почтовые заголовки). Самый действенный метод проверить письмо на фишинг — это посмотреть его исходник. Как это сделать отлично расписано в справке Яндекса. Особенно стоит обратить внимание на заголовки Envelope-From (это адрес, с которого письмо действительно было отправлено, а не то, что указано во From) и Return-Path (из этого заголовка можно узнать адрес ящика, причастного к отправке — это адрес возврата, если письмо не будет доставлено)
Не будет лишним проверить существование электронного ящика отправителя с помощью специальных валидаторов (например, https://ivit.pro/services/email-valid/). Вбиваем адрес и получаем результат — если сервер не отвечает на запрос по этому ящику, то это дополнительный сигнал к тому, что этому отправителю не стоит доверять. Хорошо подходит, чтобы «пробивать» ящики на известных доменах, под которые, зачастую, маскируются мошенники
Фишинговые письма достаточно давний вид развода населения. Об этом уже неоднократно писали на топовых ресурсах по кибербезопасности AntiMalware (https://www.anti-malware.ru/ost1/2021-04-12/35564), Security Lab и другие.
- Отправить в ВК
- Отправить в Telegram
- Отправить в Viber
Источник: devrockets.ru
Фишинг ВК
Теневой Комитет
Предисловие: все ссылки из данного мануала (почти все) представлены продавцом схемы, но не опробованы лично мной. В этом направлении никогда не работал (да даже на whoer.net проверять их лень), так что используем все с головой и на свой страх и риск.
Далее от лица автора.
Займемся изучением способа, с помощью которого можно заниматься фишингом страниц, непосредственно, в такой социальной сети как Вконтакте. Фильтры постоянно ужесточаются, в следствии чего, фишеры пытаются исхитряться. Если кратко, то с нуля зайти в эту тему очень сложно, но возможно при должном старании!
Но фишить за пределами Вконтакте пока ещё просто. Этому я постараюсь вас научить.
Для начала — что такое фишинг? Это добыча аккаунтов Вконтакте других людей, а затем продажа их скупщикам.
Рыночная цена, на данный момент — 7 рублей за обычный аккаунт, 27 рублей за 100+ друзей и 18+ возраст.
Фишить будем c помощью WhatsApp автоответчика, но давайте всё по порядку.
Чтобы установить WhatsApp на компьютер, нам нужен эмулятор Андроида.
NOX — скачиваем https://ru.bignox.com/ заходим на эмулятор Андроида, проходим в PlayMarket, скачиваем WhatsApp.
Ждём, когда доставят сим-карты.
На имеющиеся у нас сим-карты регистрируем WhatsApp аккаунт. Выставляем рандомное имя, аватарку (лучше женскую).
Далее в PlayMarket скачиваем приложение: WA AutoReply (в дальнейшем весь разбор мануала на нём, но вообще нужно понимать, что существует множество автоответчиков).
Тут нам нужно создать автоответчик на наш WhatsApp с фишинговой ссылкой.
Сделаем это позже.
Рассмотрим дорогой и независимый вариант создания ссылок. Наша независимость заключается в том, что когда во Fyakk текут аккаунты, мы с вами их не видим, а видим лишь статистику — сколько залито, сколько валид, сколько взросляк.
Поэтому используем сайт https://uvotes.ru/apanel/, стоит 500 руб/месяц.
После оплаты вам дадут ссылку на телеграмм канал, где будут выставляться актуальные ip для привязки.
Далее, нам нужно зарегистировать аккаунт на Gmail.
Переходим на freenom.com , авторизуемся с помощью Gmail, выбираем любой домен для поиска.
Выбираем только .tk .ml, остальные Вконтакте очень не любит. Регистрируем, прописываем ip-шники для авторизации. Переходим обратно в панельку -> настройки — >добавление домена. Добавляем наш домен, далее переходим в вкладку «Создать Авторизацию», создаём, ссылку сохраняем.
Редирект после авторизации — это то, куда будет перенаправлен человек после ввода своих данных. Ставьте vk.com
Имея данные аккаунты от клауда, заходим, выбираем нужный домен, прописываем ip.
Проверить находится ли в бане ссылка Вконтакте можно на сайте — https://hinw.ru/sb/
Важно — Будь это спам по самому Вконтакте, нам бы обязательно нужно было делать увод бота. Но в данном случае этого не требуется. Переходим на vk.cc (если нет пока ни одного аккаунта вконтакте для авторизации купить можно на hackway.su,, сокращаем нашу ссылку, получаем ссылку вида vk.cc/?
Возвращаемся на наш эмулятор андроида к автоответчику.
Создаём новый автоответчик, период откручиваем подальше, до конца месяца, фразу выбираем следующую:
«Привет, я сейчас занят, отвечу при первой возможности. Попробуй написать мне вконтакте «
Человек, воспринимая это как Вк-ссылку, проходит на сайт, где ему предлагают пройти авторизацию и в 7-10% вводит свои данные. Позже, обычно, из-за прихода окошка, «вы перешли по вредоностной ссылке, возможно, ваша страница взломана», 30% аккаунтов уходят в невалид, но остальная часть продолжает жить как ни в чём не бывало.
Соответственно, вся наша схема — способы нагона трафика людей в WhatsApp.
Я предлагаю для этого 2 эффективных способа. Сайты Знакомств и Доска Объявлений.
Разберём на примере крупнейшие.
Авито:
Аккаунт можно зарегистрировать самостоятельно на нашу сим-карту, можно купить на http://hackpay.ru/ru/ за 2 рубля с историей. Сильного притока трафика я не заметил от аккаунта с историей, поэтому советую первый вариант, самореги живут дольше.
Создаём объявление, например:
Топовая видеокарта, которую можно продать за 90% от себестоимость, выставляем за 30%.
Выставляю обязательно Московскую область, чтобы объявление собрало больше трафика.
Это одно из первых объявлений, в нем я исправил следующие ошибки в дальнейшем:
1. Выставлять именно Москву, а не Московскую область. Есть много схем скама, где выставляют сознательно Московскую Область, а потом разводят на фейк Авито доставки.
2. Не писать куплен в USA, конечно, это снижает трафик.
3. Не стесняться и выставлять топовую технику: iphone, за 70-80% от цены за «недавно купленный», и 15-30% на «в очень хорошем состоянии».
И тогда хорошие просмотры вам обеспечены без платных услуг!
Если аккаунт зарегистрирован самостоятельно, то на эту же сим нужно зарегестрировать WhatsApp, если куплен, то номер телефона можно изменить, добавив свой. Если используете купленный аккаунт с историей — отключайте все уведомления в настройках!
Если никак не можем пройти модерацию, объявления блокируют: значит убираем упоминания про «пиши в WhatsApp», размещаем объявление как есть. Далее ждём несколько часов/пол дня, если мы всё сделали правильно, то на наше крутое предложение нам напишет кучу народа.
Написало, далее рассылаем им по лс следующие тексты:
мне в <вотсап|WhatsApp|вотсап> <пж|пожалуйста|пжлст>- 8640 различных вариантов, выбирайте любые 500, выписывайте и рассылайте, не спеша, с перерывом в 30 секунд — минуту
Не забывайте делать паузы, перерывы!
Если прошли модерацию, не спешите сразу размещать новое объявление. Выждите 10-15 минут. Максимум, в данной категории в месяц можно разместить 5 бесплатных объявлений. Покупка аккаунта — 2 рубля/штука. Под создание аккаунтов я юзал платные ipv4 с портаблами фф, но вы можете использовать из бесплатного прокси листа ip, которые гугляться, ведь их много.
Удобнее использовать для этого браузер сферу. Купить можно здесь https://ls.tenebris.cc/, там же вы и найдете инструкцию по настройке.
Распределите аккаунты по портаблам и потихоньку добавляйте новые и новые объявления на аккаунты.
Помимо Авито, также хорошо использовать доски объявлений Юла (пример, труднее всего проходить модерацию, ругается на упоминание мессенджеров в объявлении) и Из Рук в Руки. Полный список досок объявлений прикладываю.
Сайты знакомств.
Тут вообще (конкретно на этом сайте знакомств) можно не использовать номер телефона. Делал я следующим образом: заходил через тот же прокси, что и для Авито (хотя для конкретно этого рассматриваемого сайта заходить можно хоть с Тора) , для регистрации использовал одноразовое мыло temp-mail.org.
Фотки брал из Интернета и с помощью фоторедактора — https://www.fotor.com менял настройки яркости, контрастности. Примеры отредактированных фотопаков прикладываю к мануалу.
Создавал пак девушки, заполнял анкету рандомно, к примеру:
Далее, в статус прописывал — «Здесь сижу редко, пишите мне в вотсапп». Тут важно разделить номер телефона, иначе не пропустит. Далее использовал 3 монеты дающиеся при регистрации и выводил себя в топ.
Просьба, привязать телефон появляется только после отправки 5 сообщений с аккаунта, но мы и не будет ничего отправлять.
Вот, собственно, и всё. Создаём несколько фото паков (я приложу), редактируем, создаём для крупных городов. Москва, Питер, Екатеринбург, Казань, Красноярск.
Если сайт знакомств убирает ваш текст из статуса, не добавляем по 100 раз, добавили 2 раз — снесло, хорошо. Ждём также пару часов — пол дня, в симпатиях отвечаем взаимностью, сами лайкаем других мужиков, чтобы они все нам писали.
Далее начинаем рассылать тот же текст, что и на сайтах знакомств:
Не забывайте делать паузы, номер телефона указывайте своего WhatsApp
Можно, например, как с сайтами знакомств, так и с авито, не кидать это первым предложением, а первым делом писать на сз от имени девушки <Привет|Прив|Ку|Как дела?>, а на ответ уже отправлять наше сообщение, повышает доверие человека и фрода сайта знакомств/доски объявлений к вам, меньше банов, дольше работаем
Это самый простой сайт знакомств в плане фрода, наверное. Список сайтов прикладываю в приложении.
Как альтернатива автоответчику можно просто прописать нужный нам текст в статусе в WhatsApp, но тогда конверсия падает, как вы понимаете.
Источник: telegra.ph
Фишинг: что это такое и его виды
Вы когда-нибудь в своей жизни сталкивались с компьютерными хакерами? Был ли у Вас опыт общения с ними? Заметьте, что такие люди сильно давят на потребности и эмоции, чтобы получить доступ к персональным данным. Поэтому сегодня в целях безопасности мы расскажем простыми словами, что такое фишинг.
Что такое фишинг в интернете
Для начала стоит разобраться, что такое фишинг в интернете вообще. Данное явление представляет собой вид интернет-мошенничества с целью запроса и получения доступа к личным данным пользователя (пароль, логин, банковские карты и др.). В интернете самым популярным методом такого мошенничества является рассылка писем по электронной почте от лица известных компаний.
Они, в свою очередь, содержат ссылки на ненастоящие сайты, выглядящие как оригинальные. Обычно, здесь предлагают ввести персональные данные пользователя (в зависимости от того, что нужно мошеннику). После ввода возникает ошибка или выбрасывает с сайта на другой ресурс. Первым делом, следует беспокоиться тем, кто задумывается о создании интернет-магазина, чтобы защитить его от киберпреступлений.
Что такое фут фишинг
Пользователи часто задают вопрос, что такое фут фишинг, полагая, что здесь есть связь с хакерством. В действительности, фут фишинг — это вид рыбной ловли при помощи ног человека. Делается такое в шутку. И здесь, конечно же, нет никакой связи с интернет-мошенничеством. Хотя фишинг и есть от слова ловить, попадаться на крючок.
Что такое фишинг в сети
Теперь более подробно поговорим, что такое фишинг в сети. На сегодняшний момент это широко распространённый вид кибепреступлений. Происходит похищение аккаунтов, конфиденциальной информации, банковских данных. В особенности, если пользователь занимается франшизой и широко продвигает эту деятельность.
К сожалению, в УК РФ прописана ответственность только за крупно масштабные преступления. Мошенник осуществляет фишинг самыми разными способами. Но его цель задеть человека эмоционально и заставить выполнять свои требования. Зачастую, это хороший психолог, который может манипулировать Вами через запугивание, невнимательность, потребность в везении или любопытство.
Что такое фишинг с фейка
Многие пытаются разобраться, что такое фишинг с фейка и как это работает. Это всё тот же вид мошенничества. Неизвестный пользователь присылает Вам сообщение с просьбой перейти на фейковую страницу. Она может выглядеть как оригинал с качественно написанными СЕО текстами, которые пишут профессионалы. К несчастью, распознать такое редко удаётся.
При вводе своих данных, они переходят к мошеннику. И что же он с ними делает? Он может использовать их против Вас. Войти с помощью них в другие социальные сети, делать спам рассылки. Также, если у Вас имеется электронный кошелёк, то деньги могут перейти к нему.
Что такое фишинг с аккаунта
Если рассуждать о том, что такое фишинг с аккаунта, то логично, что тут так же замешаны персональные данные из социальных сетей. Допустим, что Вам написал знакомый человек по поводу недостатка у него средств. Конечно, нет подозрений, что человек может быть в плохом положении. Но так бывает не всегда. Обычно через сообщение можно понять, правда это или обман.
Это может быть и стиль письма, и поведение человека. То есть, мы говорим о том, что аккаунт этого пользователя уже взломан и используется против него. И с помощью этого ловит других пользователей с целью извлечения выгоды.
Защита от фишинга: что это такое
- Никогда не переходите по подозрительным ссылкам, присланных по электронной почте. Помимо всего прочего, они могут содержать в себе вирусы.
- Не скачивайте присланные с этих писем файлы.
- Создайте надёжные пароли.
- Никому не говорите свой пароль, логин и номера с карт.
- Внимательно смотрите на адрес сайта, на который просят перейти.
- По чаще обновляйте антивирус и браузеры.
Данная статья будет очень полезна всем пользователям, так как напоминает о безопасном пользовании интернетом. Фишинг сейчас достаточно частое явление, которое нужно подавлять. Иначе, это приведёт к настоящему неприкрытому воровству в социальных сетях.
Статьи
Обходить сеть позволяет программа Virtual Private Network (VPN). Что это такое и как пользоваться данным сервисом, расскажем в данной статье.
Метод грубой силы, зачастую, используется не только в реальной жизни, но и в виртуальной реальности. Разобравшись в том, что такое брутфорс и как он работает, Вы поймете, что мы имеем ввиду.
Ведущее место среди них занимает инфляция, что это такое простыми словами мы рассмотрим в данной статье.
Источник: pro-promotion.ru