СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ#ИИ

Фишинг через разрешения браузера: кража фото, аудио и биометрии

Недавняя фишинговая кампания продемонстрировала сдвиг в тактике злоумышленников: вместо массовой кражи учетных данных атакующие целенаправленно запрашивают разрешения браузера (доступ к камере, микрофону и т. п.) и используют встроенный JavaScript для скрытого сбора изображений, аудио и других данных в реальном времени. Собранная информация затем эксфильтрируется в инфраструктуру, контролируемую злоумышленниками, в частности через API чат-ботов Telegram.

Суть атаки

Злоумышленники распространяют фишинговые страницы под видом доверенных сервисов и приманок — от «Сканера удостоверений личности» до «Искусственного интеллекта фонда здравоохранения». Главная цель — убедить пользователя предоставить критически важные разрешения. После получения согласия срабатывает специально написанный JavaScript-рабочий процесс, который:

  • захватывает изображения в реальном времени с камеры;
  • записывает аудио через микрофон;
  • собирает данные о устройстве и браузере, контакты и геолокацию;
  • форматирует мультимедиа в распространенные типы (JPEG, WebM) и пересылает их злоумышленникам через API (например, Telegram).

«Кампания выделяется своим инновационным подходом к сбору данных, отходящим от традиционной кражи учетных данных и фокусирующимся на получении биометрических данных и мультимедиа», — отмечается в отчете.

Технические особенности

Технически схема опирается на стандартные браузерные медиа-API, которые позволяют веб-странице получить доступ к камере и микрофону после согласия пользователя. Вредоносный код выполняет следующие шаги:

  • использует getUserMedia и связанные API для захвата потоков;
  • формирует снимки и аудиозаписи, кодирует их в JPEG/WebM;
  • передает файлы через простые и доступные механизмы эксфильтрации — в данном случае через Telegram Bot API, что позволяет злоумышленникам принимать данные без развертывания сложной C2-инфраструктуры;
  • параллельно собирает fingerprinting-информацию о браузерной среде для точного профилирования жертвы.

Чем это опасно

Смещение фокуса на биометрические и мультимедийные данные создаёт новые риски:

  • подделка идентификационных документов и создание deepfake-видео/аудио для мошенничества;
  • обход видеопроверок личности, используемых финансовыми организациями и онлайн-сервисами;
  • расширенный захват учетных записей при комбинировании мультимедиа с имеющимися учётными данными;
  • широкие социальные последствия — раскрытие приватных снимков, прослушивание личных разговоров, утечка контактов и местоположения.

Признаки и характерные черты страниц фишинга

В отчете отмечены особенности, позволяющие распознать подобные фишинговые страницы:

  • запросы на доступ к камере/микрофону с сомнительных или неизвестных доменов;
  • обманчивые UI-приманки: «сканеры», «проверки личности», «AI»-сервисы;
  • использование известных брендов и платформ (TikTok, Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), Google Drive) для повышения доверия;
  • структурные аномалии контента (например, эмодзи в служебных сообщениях), указывающие на автоматизированное создание страниц с помощью генеративных инструментов.

Рекомендации для пользователей и организаций

Пользователям:

  • не предоставляйте доступ к камере и микрофону сайтам из непроверенных источников;
  • отклоняйте запросы разрешений, если они не соответствуют ожидаемому функционалу сервиса;
  • следите за URL и доменом: официальные сервисы редко используют неожиданные субдомены или новые домены с подозрительными именами;
  • проверяйте уведомления о доступе в браузере и регулярно просматривайте разрешения для сайтов.

Организациям и командам по безопасности:

  • включите мониторинг фишинговых доменов и блокировку известных шаблонов запросов разрешений;
  • обучайте сотрудников специфическим признакам атак, в частности запросам аппаратных разрешений и использования сторонних бот-API для эксфильтрации;
  • внедрите многофакторную аутентификацию и способы проверки, не зависящие только от видеоподтверждений, если это возможно;
  • оцените потенциальное влияние утечки мультимедиа/биометрии в рамках риск-менеджмента и планов реагирования на инциденты.

Вывод

Описанная кампания — яркий пример того, как эволюция инструментов и доступность API меняют ландшафт фишинга: злоумышленники переходят от простой кражи паролей к сбору биометрии и мультимедиа через легитимные разрешения браузера. Бдительность и грамотная настройка защитных мер остаются ключевыми факторами в противодействии этим угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: