Рубрика: Безопасность

Аналитическая информация о финансовой безопасности

Странные SMS по долгу МТС-банку

Наш читатель, у которого нет кредитов (и не клиент МТС банка), получил такое SMS.
«Предоставляем Вам 2 дня с даты СМС, для принятия решения о добровольной оплате ДОЛГА перед ПАО МТС банк(89162О8977О), далее последуют наши рекомендации Кредитору по реализации принудительного взыскания через суд. ООО МБА Финансы 88005555105».
Начал выяснять. Оказалось, в базе банка номер, на который было прислано SMS, закреплён за другим человеком.

Вообще SMS странное, размер долга не указан, в первом номере 89162089770 вместо нолей буквы «O» стоят, как гасить долг (если он в реальности есть) не указано.

На подобные SMS есть жалобы в интернете.

В мае 2020 года человек сообщил:
«Спустя долгий срок, перезвонили оповестили о том, что убрали мой номер. В общем либо, мой номер раньше принадлежал текущему должнику. Либо они плохо верифицируют номера».

Николай Метлюк, Илья Трусов и атака на Вкладер

Наш сайт Вкладер с 23 января 2020 года атакуют злоумышленники с переменным успехом. С помощью специалиста по компьютерной безопасности удалось выяснить, кому принадлежат сервера, с которых шла атака.

Поведение отдельного IP-адреса во время атаки в целом можно расценить как похожее на поведение пользователей (если не знать контекста), но в массе с огромным числом подобных обращений это создаёт избыточную нагрузку и временами рушит сайт.

Мы заметили, что многие зловредные IP принадлежат российской структуре с указанным адресом для жалоб abuse@pinspb.ru.

На сайте pinspb расположено Общество с ограниченной ответственностью «Петербургская Интернет Сеть» (ООО «ПИН»; ОГРН 1077847448997 от 14.06.2007; Юридический адрес: 192289, Санкт-Петербург, ул. Малая Балканская, д. 58; Почтовый адрес 192171, Санкт-Петербург, ул. Седова, д.80, лит. А, оф. 30).

Согласно государственным базам, владельцем 100% компании является Метлюк Николай Валерьевич. Он же с 2007 года выступает генеральным директором.

Недавно Николай Метлюк выступал на конференции Comnews (руководитель Леонид Коник).

В качестве сотрудников ПИН указаны Вера Метлюк, Евгений Струков, Сергей Стополянский, Анастасия Антоненкова.

6 февраля мы обратились по адресу abuse@pinspb.ru с просьбой принять меры, чтобы злоумышленники не атаковали нас с IP, принадлежащих компании. В ответ нас попросили прислать IP-адреса участников атаки.

Мы дали данный список (далеко не полный):

  • 37.9.45.0 — 37.9.45.255
  • 5.8.46.0 — 5.8.46.127
  • 5.189.205.0 — 5.189.205.127
  • 5.8.44.0 — 5.8.44.127
  • 37.9.46.0 — 37.9.46.255
  • 5.101.222.128 — 5.101.222.255
  • 193.93.195.0 — 193.93.195.255
  • 5.189.207.128 — 5.189.207.255
  • 91.243.90.128 — 91.243.90.255
  • 91.243.91.128 — 91.243.91.255
  • 5.188.217.0 — 5.188.217.255
  • 91.243.91.128 — 91.243.91.255
  • 5.188.219.0 — 5.188.219.255
  • 5.101.219.128 — 5.101.219.255
  • 5.189.206.128 — 5.189.206.255

Ответ был такой:

«Здравствуйте!

К Вашей заявке службой поддержки было оставлено сообщение:

"Здравствуйте.

Этот диапазон ip принадлежит нам, но теперь он арендован и анонсирован AS50896. Ссылка на базу данных RIPE по данным текущего владельца:

https://apps.db.ripe.net/db-web-ui/query?bflag=true&dflag=false&rflag=true&searchtext=AS50896&source=RIPE. 


P.S. При переписке, пожалуйста, сохраняйте цитирование.
Если у Вас есть жалобы на работу наших служб или сотрудников,
пожалуйста, направляйте претензии на адрес: support@pinspb.ru

===================================================
С Уважением, Служба Техподдержки Pin!
старший специалист сектора технической поддержки ЦОД Лакомый Алексей Александрович
-------------------------------------------------
ООО "Петербургская Интернет Сеть"
192171, Санкт-Петербург, ул. Седова, д.80
Email: support@pinspb.ru - Web: http://www.pinspb.ru
Tel: (812)677-25-25, (495)721-84-58 -- Fax: (812)309-39-16".

То есть ООО «Петербургская Интернет Сеть» признало, что IP принадлежат ей, но не считает проблемой, что с её оборудования совершается уголовное преступление (статья 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ»).

Что же это за AS50896?

В качестве ответственной организации указан Trusov Ilya Igorevych (Трусов Илья Игоревич), контакт для жалоб: abusemail@depo40.ru. Мы 7 февраля написали по данному адресу, но ответа не получили.

При этом данный субъект указан и в массе других IP, которые атаковали сайт в январе-феврале 2020 года. Так, email указан как контактный для некой сети QUALITYNETWORK. Контакты даны следующие:

person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
phone: +35722007451
nic-hdl: GS19550-RIPE
mnt-by: QNSC
created: 2017-07-31T17:49:28Z
last-modified: 2018-01-20T19:02:47Z

В данных IP указаны следующие контакты Трусова Илья Игоревича: Trusov Ilya Igorevych; address: Moscow Street 258, office 16; 248021; Kaluga; phone: +79533100064; Kaluga Data Center Depo; Калуга, Московская улица, дом 258, офис 16). В базе данных указан email iluxa85@inbox.ru.

Сеть состоит из огромного числа IP, и на неё в интернете много жалоб за спам и вредительские действия на сайтах.

В атаке участвовали, в частности, IP из следующих диапазонов:

  • 185.46.84.0 — 185.46.87.255
  • 193.93.194.0 — 193.93.195.255
  • 91.216.3.0 — 91.216.3.255
  • 185.46.87.128 — 185.46.87.255
  • 185.46.85.128 — 185.46.85.255

Также мы заметили, что многие IP имеют Abuse contact ‘abuse@quality-network.eu’ и пожаловались туда 7 февраля, не получив ответа. Это IP из диапазонов:

  • 188.68.0.0 — 188.68.0.254
  • 185.13.32.128 — 185.13.32.255
  • 185.101.70.0 — 185.101.70.255
  • 5.62.158.0 — 5.62.158.255
  • 95.181.182.0 — 95.181.182.255
  • 5.62.158.0 — 5.62.158.255
  • 95.181.182.0 — 95.181.182.255
  • 5.62.159.0 — 5.62.159.255
  • 79.133.107.0 — 79.133.107.254
  • 5.62.152.0 — 5.62.152.254
  • 185.101.68.0 — 185.101.68.255
  • 95.181.183.0 — 95.181.183.127
  • 79.133.106.128 — 79.133.106.255
  • 79.133.106.0 — 79.133.106.127
  • 95.181.182.0 — 95.181.182.255

Для этой сети указано имя QUALYTYNETWORK, адрес на Сейшельских островах (person: QUALITY NETWORK CORP; address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12; phone: +35722007451) и тот же самый origin: AS50896.

В атаках также участвовали:

origin: AS200557
Abuse contact: abuse@atomohost.com
person: QUALITY NETWORK CORP
address: Office 14, Trinity House, Victoria, Mahe, Seychelles. SC-12
В частности, вот IP адреса из этих диапазонов (далеко не все).
91.204.15.0 — 91.204.15.127
185.89.101.128 — 185.89.101.255
185.89.100.128 — 185.89.100.255
79.110.31.0 — 79.110.31.127
91.204.14.128 — 91.204.14.255
91.204.15.0 — 91.204.15.127

origin: AS35624
Abuse contact: abuse@fitz-isp.uk
organisation: ORG-FIL15-RIPE
person: Aleksei Filippenko

origin: AS206485
origin: AS200557
Abuse contact: noc@finetransit.eu
org-name: FineTransit OU

origin: AS206485
Abuse contact: abuse@fast-telecom.net’
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS49453
Abuse contact: abuse@fast-telecom.net
role: Qualitynetwork OU
address: Estonia pst 5-309B

origin: AS50896
% Abuse contact for ‘212.60.20.0 — 212.60.21.255’ is ‘abuse@fitz-isp.uk’
org-name: FITZ ISP LTD (20-22 Wenlock Road, London, England, person: Aleksei Filippenko, Алексей Филиппенко).

 

В завершение хочется попросить Николая Метлюка, Илью Трусова и других уполномоченных персон прекратить сдавать сервера в аренду злоумышленникам, вероятно, анонимным.

+74954490318: развод, не сообщайте персональные данные

Александр Лихтман рассказывает об адаптированном виде телефонной разводки:

Звонок с номера +74954490318. На фоне гул колл-центра.
Девушка (Д): Здравствуйте, Александр Симхович?
Я: Да?
Д: Я такая-то, младший специалист банка Банк ВТБ, вы оставляли заявку на кредит? Миллион наличными?
Я: Нет
Д: А вот нам пришла заявка, скажите, вы передавали свои доступы доверенным лицам?
Я: Да
Д: Значит, произошла утечка. Кому вы передавали данные?
Я: Почему утечка? Вы позвонили, уточнили, спасибо за бдительность. Я отказываюсь. Все нормально
Д: Нет, нам надо проверить факт утечки
Я: Ну проверяйте, вы же банк
Д: Но ваши персональные данные скомпрометированы, кому вы давали доступ?
Я: Вы банк, вам виднее
..короткие гудки

Вопрос. Что они пытались выяснить? Имя? Или развести меня на смену пароля по телефону?

Комментарий ВТБ:

Здравствуйте! Благодарим Вас за бдительность! Мы направили номер в службу безопасности банка.

Нередки случаи, когда мошенниками используются крупные бренды банков в своих целях.

Звонки поступают выборочно, в надежде таки попасть на нужного им клиента.

Важно при подобных звонках ничего не сообщать собеседнику, тем более какие-либо коды, поступающие в СМС от банка.

Как Руцентр списал деньги с карты за некупленный антивирус

Дмитрий Ситко рассказал о своей истории с пропажей денег по мотивам кражи у Александра Амзина.

— В конце сентября захожу в личный кабинет Сбербанка, чтобы узнать точную сумму входящего перевода, так как смс отключены — я пользуюсь преимущественно Тинькофф. Вижу странное списание буквально в этот же день: 799 рублей куда-то. «Куда-то» в подробностях платежа оказался Руцентр NIC.RU.

Читать далее Как Руцентр списал деньги с карты за некупленный антивирус

XOsignals: заманивают в 24options, держитесь подальше

Приложение XOsignals начало давать рекламу на русскоязычную публику.

В рекламном посте в Facebook сказано:

«Получать ежедневные сигналы Форекс
👉 Вход, Выход, Стоп лосс
👉 совершенно бесплатно
👉 Общайтесь с трейдерами
👉 Попробуйте наше бесплатное приложение сегодня».

Вот как выглядит пост:

Не устанавливайте данное приложение. Это бесплатная замануха для того, чтобы потом попытаться вас заставить стать клиентов брокера с сомнительной репутацией 24options.

 

Люди жалуются на постоянные спам-звонки после установки приложения.

Константинос Терзис:
Предупреждаю о мошенничестве. Они просят вас присоединиться к 24options — мошеннической компании по версии ForexPeaceArmy (крупнейший в мире веб-сайт, посвященный обзору валютных курсов) с рейтингом 1/5 звезды. Также 24options являются официальными партнерами Ювентуса, которые были признаны виновными еще в 2006 году в связи с итальянским футбольным скандалом за подкуп судей. След мафиозного партнерства. Держись подальше!!!

Дэвид Майерс:
В рамках процесса регистрации вы должны предоставить свой номер телефона. Если вы сделаете это, вы можете ожидать получения спам-звонков от брокеров на следующий день, как и я.

Душан Попович:
Просто установите это приложение. После установки у них есть ваш номер, и они не перестают звонить вам!

Кагизо Адонис Аггрей Феме:
Это приложение — мошенничество, полное ложных обещаний, и вы не будете получать прибыль, используя бесплатную версию, которую они просто хотят заработать на вас. Я умоляю вас держаться подальше от этого.

Оригиналы комментариев на английском языке.

Constantinos Terzis:
SCAM ALERT They ask you to join ’24 options’ which is a scam company according to ForexPeaceArmy (biggest fx review website globally) with a rating of 1/5 stars. Also 24options are official partners with Juventus who were found guilty back in 2006 related to the italian football scandal for bribing referees. A trail of mafia partnership. Stay away!!!

David Myers:
As part of the registration process you are required to submit your phone number. If you do so, you can expect to receive spam calls from brokers the following day as I did.

Dusan Popovic:
Do jot install this APP. After you install they have your number and not stop calling you!

Kagiso Adonis Aggrey Pheme:
This apps developer is a total fraud filled with fake promises, and you will not turn a profit using the free version they just want to make money from you. I implore Stay away from it.

Namek Mikael:
Too many terms start ( You will not) and no even one condition , so please stay away from it and do not waste your time and money with it. pointless and noisy. too little for the free version (there is no eurusd). too many ads. noisy interface (First time opened: 1254 chat messages…). Uninstalled after 4 minutes. EDIT: next day a phone call asking me for subscribing an account with their partner broker. I said I wasn’t interested, they insisted a couple of minutes and then they abruptly quitted the communication.. Top class!! (btw number blocked, so don’t call me ever again).