Злоумышленники используют аккаунт для рассылки сообщений от имени жертвы
МОСКВА, 2 декабря, ФедералПресс. Специалисты CTM360 сообщили о стремительно растущей глобальной кампании угонов WhatsApp*-аккаунтов, получившей название HackOnChat. По их данным, злоумышленники создают многочисленные фишинговые ресурсы, имитирующие интерфейс WhatsApp* Web, и вынуждают пользователей проходить подложную аутентификацию. Масштаб атак увеличивается за счет массовой генерации страниц на дешевых доменных зонах – за последние недели зафиксированы тысячи вредоносных URL и сотни инцидентов.
«Проблема WhatsApp* в том, что после сканирования QR-кода для привязки устройства сервис привязывает новое сразу, без дополнительного подтверждения на старом. Именно поэтому схема с перехватом сессии успешно работает. Могла бы Meta** что-то сделать? Да, но компания принципиально избегает всего, что может хоть чуть-чуть усложнить интерфейс. Также нужно вспомнить, что сотрудникам запрещено вводить меры, снижающие общий доход компании более чем на 0,15 %. Результат этой политики мы видим сами», – прокомментировал член Общественного совета при Минцифры России, заместитель председателя комиссии ОП РФ по безопасности и взаимодействию с ОНК Георгий Волков.
Исследователи отмечают, что применяются как атаки на активные веб-сессии через механизм привязки устройств, так и схемы полного захвата учетной записи, когда жертв убеждают передать ключи аутентификации через поддельные уведомления или фальшивые порталы. Фишинговые страницы отличаются высокой степенью проработки: поддерживают разные языки, автоматически подбирают код страны и адаптируют интерфейс под регион.
Получив доступ, злоумышленники используют аккаунт для рассылки сообщений от имени жертвы, сбора личных и финансовых данных, а также распространения новых фишинговых ссылок, формируя самораспространяющуюся цепочку атак. Согласно CTM360, ключевым фактором успешности кампании остается социальная инженерия, основанная на подделке привычных интерфейсов и эксплуатации доверия между пользователями.
«Учитывая количество атак на сервисы компании Meta** и их успешность, можно подумать, что ИТ-гигант работает с ними чуть ли не заодно. Мысль абсурдная, но недавно она подтвердилась – компания признала, что получает до 10 % общего дохода от показа мошеннических объявлений. Стоит ли удивляться тому, что мошеннические атаки с участием WhatsApp* продолжаются и будут продолжаться?» – отметил член ОП РФ, первый заместитель директора Института стратегических исследований и прогнозов (ИСИП) РУДН Никита Данюк.
Ранее исследователи выявили связь между новым вредоносом Maverick и ранее известным банковским трояном Coyote. Вредонос распространяется через ZIP-архивы, рассылаемые в WhatsApp*.
*ПРИНАДЛЕЖИТ КОМПАНИИ META**, КОТОРАЯ ПРИЗНАНА В РФ ЭКСТРЕМИСТСКОЙ ОРГАНИЗАЦИЕЙ И ЗАПРЕЩЕНА
**ПРИЗНАНА В РФ ЭКСТРЕМИСТСКОЙ ОРГАНИЗАЦИЕЙ И ЗАПРЕЩЕНА
Изображение сгенерировано нейросетью Kandinsky 2.1