Выплаты не для бедных

Сегодня у нас прекрасный пример того, как обнаружив один фишинговый сайт, можно вскрыть целую сеть ресурсов, созданных участниками одной преступной группы.

Изначально наше внимание привлек откровенно фишинговый сайт https://v--t--b.ru.

На сайте есть интересное сообщение о том, что: «Для получения средств на карте должно быть не менее 5 000 рублей». Таким образом злоумышленники экономят свое время, отсекая тех, у кого и брать-то нечего.

Любопытно, что точно такой же комментарий имеется и на другом фишинговом сайте, имитирующем страницу банка «Тинькофф».

Посмотрим, чем еще промышляет эта группа.

Вместе с доменом v--t--b.ru были зарегистрированы:

6666-666.ru

ewfwejewoifjoi.ru

ew22f22we2j2ew2oi2fjoi.ru

edbviukvivkvivwdwqdqw.ru

pocchtabank.ru

111-11111111.ru

v--t--b.ru

vttb-bank.ru

3333-11111111.ru

5555-5555.ru

ew666fw266efwefwe.ru

2222-11111111.ru

kkkkkeeefefe.ru

mmhhgmghmg.ru

211212ewf2121ewfwef.ru

willdberriiess.ru

4444-11111111.ru

e2222222222.ru

qwdqwdkqwk.ru

e3333333333.ru

e1111111111.ru

Тут мы видим 3 банка, маркетплейс Wildberries и кучу доменных имен, которые были либо сгенерированы автоматически, либо появились по причине того, что кто-то уснул на клавиатуре. Первый вариант выглядит правдоподобнее. Например, домен kkkkkeeefefe.ru редиректит нас на фишинговый сайт банка "Тинькофф" и используется в качестве прокладки в фишинговых рассылках. Другие домены из списка тоже не просты и редиректят нас на сайты банков «ВТБ», «Тинькофф», «Белагропромбанк» и РНКБ.

Но мы же не остановимся на этом, а копнем глубже. Первым делом посмотрим в поисковиках, какие еще сайты предлагают получить средства лишь в том случае, если у вас на счете есть как минимум 5000 рублей…

Что же мы видим? Те же самые Белагропром, Тинькофф и РНКБ. Только вот на домене ru-banking.ru, на котором еще недавно висел фишинг под «Тинькофф», теперь стоит редирект на СДЭК, поэтому мы понимаем, что данная преступная группа совершенно непричастна к мошенничествам на Авито *SARCASM*!

Но вернемся к нашим банкам. Домен ru-banking.ru был зарегистрирован вместе с еще десятком доменов, красноречиво говорящих об их назначении:

podarok-na-ng2022.ru

addorder.ru

new-orders.ru

ru-promotion.ru

ru-orderinfo.ru

ru-onlinebank.ru

ru-payservise.ru

pochtabank-10k.ru

pochtabank-online24.ru

втб-24ч.рф

яндекс-доставка24.рф

Домен rncb-bank.ru пополняет нашу копилку еще 25 именами, многие из которых также имеют признаки автоматической генерации или сна на клавиатуре.

okewkfopwef.ru

vtb-podarok.ru

llelflwefl.ru

efw2wefwefwe.ru

belagrob.ru

rsvtldsfsdfsdf.ru

klmlktrrefe.ru

rfwrrgshnbsfew.ru

gazgazgewwgew.ru

kkkewflwef.ru

klkgfkh.ru

psb-onlline.ru

efpkoewfwopk.ru

re3ge3rgrgr3reg.ru

belkaabelafa.ru

rncb-bank.ru

mmmmbrfb.ru

fewefweth.ru

tinrinkdsfsdf.ru

psb-10k.ru

efewasdasdf.ru

efj11kiklwefj.ru

wfwefewfwe.ru

rnrnrnewfewf.ru

we2424fwef.ru

втб-24ч.рф

Как итог: примерно 50 доменов, большая часть из которых является прокладками для переадресации на реальные фишинговые сайты, обеспечивая стабильную работу фишинговых рассылок.

Тут кто-то из читателей недавно жаловался на то, что мы в своем посте не написали, что отправляем домены на блокировку… Ну извините, пишем не всегда, а вот блокируем постоянно.