Skip to main content

ton10, telegram10: Мошенники и утечка персональных данных

Недавно в одном из чатов по информационной безопасности появилась ссылка на пару проектов, которые не просто занимаются мошенничеством, так еще и хранят в открытом доступе чувствительные (читать как личные или персональные) данные тех, кто попался на удочку злоумышленников.

Мы говорим сейчас про такие данные, как
  1. ФИО (многие заполнили поля Имя и Фамилия полностью)
  2. Email
  3. Номер телефона
  4. Пароль (пароль хранится в открытом виде без использования криптографических механизмов защиты информации). Это крайне опасно, так как многие пользователи используют одни и те же пароли на разных сайтах.
Пример записи из логов, которая раскрывает фамилию, имя, номер телефона и пароль пользователя.
Не всё бы было так опасно, как размер этой компании. Потому что реклама этого проекта распространилась через РСЯ (рекламная сеть Яндекса) на огромное количество сайтов. Ниже предоставлен список из 50 сайтов, с которых были переходы с количеством перемещений только с самой рекламы!

5444 zen.yandex.ru
3981 win.mail.ru
3083 com.yandex.browser
2528 com.avito.android
2215 mail.yandex.ru
2022 m.avito.ru
1405 ok.ru
1136 avito.ru
867 ru.yandex.searchplugin
796 vartum.ru
754 disk.yandex.ru
701 zen.yandex.com
657 news.yandex.ru
561 m.pogoda.yandex.ru
496 pogoda.yandex.ru
487 ru.avito.app
458 mail.ru
452 m.hh.ru
450 mover.uz
408 ru.yandex.mail
337 images.yandex.ru
316 games.mail.ru
315 video.yandex.ru
307 m.mail.yandex.ru
283 ru.hh.android
269 com.yandex.launcher
261 kz.kolesa.advapp
259 m.news.yandex.ru
182 m.disk.yandex.ru
178 fb.ru
177 gorodrabot.ru
176 dsp.yandex.ru
172 m.video.yandex.ru
167 drug.vokrug
158 vipjob.kz
152 ru.yandex.mobile.search
149 com.edadeal.android
142 m.lenta.ru
137 m.fotostrana.ru
136 ru.auto.ara
128 bolshoyvopros.ru
127 ria.ru
120 mail.rambler.ru
117 ru.savefrom.net
116 mp3party.net
113 mk.ru
113 kinopoisk.ru
113 beboo.ru
112 gismeteo.ru
109 politfox.ru


Как мы с вами видим в этом списке такие сайты как: ria.ru, lenta, mail.ru, hh.ru, ok.ru, avito.ru, kinopoisk.ru, которые являются популярными и часто посещаемыми сайтами.
Полный список доменов и utm_term, которые более-менее выглядят прилично можно просмотреть тут: https://pastebin.com/RH7LCLT8

Реклама распространяется, в основном, по этим ключевым словам:
  1. кошелек
  2. qiwi кошелек
  3. ru
  4. webmoney ru
  5. бинарные
  6. бинарные брокеры
  7. бинарные олимп
  8. бинарные опционы
  9. дополнительный заработок
  10. зарабатывать деньги в интернете без вложений
  11. заработок
  12. заработок без вложений
  13. заработок без вложений приглашений
  14. заработок в интернете
  15. заработок в интернете без вложений
  16. заработок интернете вложениями выводом
  17. заработок на дому
  18. заработок на дому без вложений
  19. как заработать в интернете
  20. как заработать деньги
  21. киви кошелек
  22. обман работы в интернете
  23. олимп трейд
  24. олимп трейд реально
  25. оплата работы интернет
  26. опцион
  27. опцион сигнал
  28. опционы без вложений
  29. работа без вложений
  30. работа без вложений и обмана
  31. работа в интернете
  32. работа в интернете без вложений
  33. работа в интернете на дому
  34. работа на дому
  35. работа на дому вакансии
  36. сигналы для бинарных опционов
  37. скачать олимп трейд
  38. способы заработка в интернете
  39. торговля бинарными опционами
  40. удаленная работа
  41. удаленная работа вакансии
  42. удаленная работа на дому
  43. через webmoney
  44. яндекс деньги
  45. яндекс кошелек кабинет
Почитать подробнее про проект можно по ссылкам ниже. Это то, что мы нашли про эти проекты по первым запросам в поисковике.
  • https://baxov.net/lohotrony/sistema-ton10-telegram-10-ot-super-binary-privlechenie-naivnykh-polzovateley
  • https://baxov.net/tags/httpstelegram10ru-lokhotron
IP:  88.99.168.135 (telegram10.ru), waws-prod-hk1-003.vip.azurewebsites.windows.net, waws-prod-hk1-003.cloudapp.net, 207.46.147.148 (dazhush1.azurewebsites.net)

❗А вообще, похоже, что устроил это все бесчинство какой-то аффилейт 24option.com под логином Marsmedia5, marsmedia9 и ходит из Израиля (82.80.27.190) и Украины(217.77.212.61).

Popular posts from this blog

operasystem: Мошенники и утечка персональных данных

Как и в другой нашей статье (ton10, telegram10: Утечка чувствительной информации) мы хотим рассказать еще об одном сервисе, который мало того, что мошеннический (по инфраструктуре они очень похожи друг на друга), дак еще и к данным пользователей относится халатно.

Утекли
ФИО (многие заполнили поля "Имя" и "Фамилия" полностью)EmailНомер телефонаПароль (пароль хранится в открытом виде без использования криптографических механизмов защиты информации). Это крайне опасно, так как многие пользователи используют одни и те же пароли на разных сайтах.IP

Ниже показано по каким каналам и в каком количестве в основном происходят регистрации:

670065 wisebanc.com
3433 capitalxp.com
1544 yardoption.com

IP: 94.130.76.244 (operasystem.ru)

Возможный разработчик hxxps://freelancehunt.com/freelancer/mardoc.html (dump), hxxps://www.work.ua/resumes/4176285/ (dump)