В прошлом году в Рунете было ликвидировано около 700 имитаций Viber

Татьяна Никитина 08 Февраля 2021 - 16:28

Домашние пользователи

...

За год в российском сегменте интернета эксперты Group-IB выявили 706 мошеннических сайтов, имитирующих сервис Rakuten Viber. Подавляющее большинство из них (98%) уже закрыты.

Количество таких фальшивок в 2020 году, по данным ИБ-компании, увеличилось на 190%. Значительный прирост был замечен в феврале, когда стало известно о неуклонном распространении COVID-19, и в конце года — в декабре Viber раздавал подарки в честь своего 10-летия.

Торжественное событие не преминуло привлечь внимание мошенников, которые бросились создавать сайты с ложной информацией о розыгрышах. Эти клоны активно продвигались и в Viber, и за его пределами с единственной целью — привлечь как можно больше посетителей и выманить у них ценную информацию или обманом заставить платить за мифический приз.

Аккаунты Viber, распространяющие мошеннические ссылки, блокируют сами операторы популярного мессенджера — на основании жалоб пользователей. Выявлением сайтов, специально созданных для обмана, занимаются специалисты по ИБ и активисты, а ликвидировать их можно только по согласованию с хостинг-провайдером и регистратором доменов.

По оценкам Group-IB, в первые девять месяцев 2020 года на атаки с незаконным использованием брендов во всем мире пришлось 54% киберпреступлений. При этом в 16% случаев чужие имена заимствовались с целью фишинга, в остальных — с целью мошенничества.

«Главным трендом развития мошенничества в интернете сегодня является таргетирование атак, — комментирует Андрей Бусаргин, замгендиректора Group-IB по защите от цифровых рисков. — Нацеливаясь на конкретный пул жертв в определенной стране, мошенники используют персонализированные ссылки, которые отображают контент лишь одному пользователю, что осложняет их выявление и блокировку. Кроме того, информация, которую пользователи вводят на мошеннических сайтах, сохраняется и затем может передаваться в URL-адресе страницы для автоматического заполнения персонализированных форм на следующих этапах мошенничества».

Чтобы не стать жертвой мошенничества, пользователям Viber рекомендуется обращать внимание на источник информации о той или иной акции. Стоит также помнить золотое правило безопасного поведения в интернете — не переходить по ссылкам, присланным незнакомцами.

В странах бывшего СНГ официальными сообществами самого мессенджера являются «Viber Россия» и «Команда Viber». Участие в проводимых ими конкурсах и акциях не требует денежных взносов.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 16:12

Linux Ботнет Атаки на сайты DDoS-атаки Домашние пользователи Малый и средний бизнес

Linux-ботнет SSHStalker старомоден: C2-коммуникации только по IRC

Специалисты по киберразведке из Flare обнаружили Linux-ботнет, операторы которого отдали предпочтение надежности, а не скрытности. Для наращивания потенциала SSHStalker использует шумные SSH-сканы и 15-летние уязвимости, для C2-связи — IRC.

Новобранец пока просто растет, либо проходит обкатку: боты подключаются к командному серверу и переходят в состояние простоя. Из возможностей монетизации выявлены сбор ключей AWS, сканирование сайтов, криптомайнинг и генерация DDoS-потока.

Первичный доступ к Linux-системам ботоводам обеспечивают автоматизированные SSH-сканы и брутфорс. С этой целью на хосты с открытым портом 22 устанавливается написанный на Go сканер, замаскированный под опенсорсную утилиту Nmap.

В ходе заражения также загружаются GCC для компиляции полезной нагрузки, IRC-боты с вшитыми адресами C2 и два архивных файла, GS и bootbou. Первый обеспечивает оркестрацию, второй — персистентность и непрерывность исполнения (создает cron-задачу на ежеминутный запуск основного процесса бота и перезапускает его в случае завершения).

Чтобы повысить привилегии на скомпрометированном хосте, используются эксплойты ядра, суммарно нацеленные на 16 уязвимостей времен Linux 2.6.x (2009-2010 годы).

Владельцы SSHStalker — предположительно выходцы из Румынии, на это указывает ряд найденных артефактов.

Исследователи также обнаружили файл со свежими результатами SSH-сканов (около 7 тыс. прогонов, все за прошлый месяц). Большинство из них ассоциируются с ресурсами Oracle Cloud в США, Евросоюзе и странах Азиатско-Тихоокеанского региона.