СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ#ИИ

Фишинг через разрешения браузера: захват камеры, микрофона и данных

Недавняя фишинговая кампания демонстрирует существенное изменение тактик злоумышленников: вместо традиционной охоты за учетными данными они вынуждают пользователей предоставлять браузерные разрешения и затем бесшумно собирают мультимедийные и системные данные. Атаки маскируются под сервисы и проверочные процедуры, заставляя жертву добровольно открыть доступ к камере и микрофону — и после этого злоумышленники получают гораздо больше, чем простой логин и пароль.

Ключевые методы атаки

Кампания использует сочетание социальных трюков и технических механизмов для максимизации сбора данных:

  • Маскировка целевых страниц под популярные сервисы: TikTok, Telegram, Google Drive.
  • Использование множества целевых страниц, размещённых через хостинговые сервисы вроде edgeone.app, что облегчает масштабирование и динамическое создание фишинговых ссылок.
  • Социальный инжиниринг с ложными сценариями — примеры: «ID Scanner», «Telegram ID Freezing», «Health Fund AI» — которые заставляют пользователя якобы пройти проверку или восстановить доступ.
  • Запросы браузерных разрешений на доступ к камере и микрофону под предлогом проверки: после согласия — автоматический захват изображений, видео и аудио.
  • Отправка собранных данных на инфраструктуру злоумышленников, в том числе с использованием Telegram Bot API для извлечения информации.

Технические подробности

Технологическая основа кампании проста, но эффективна:

  • JavaScript используется для управления камерой/микрофоном и извлечения мультимедийного контента в реальном времени.
  • Сбор не ограничивается изображениями: захватываются видео, аудиозаписи, сведения об устройстве и контактные данные, причём без ввода пользователем каких-либо учетных данных.
  • Инфраструктура минимальна: интеграция с Telegram упрощает экстракцию и хранение данных, уменьшая потребности в собственной бэкенд-инфраструктуре у злоумышленников.
  • Анализ кода кампании указывает на возможное использование инструментов генеративного AI: структурированные аннотации, эмодзи и характерные паттерны кода выглядят как сгенерированные автоматически, что ускоряет разработку фреймворков и шаблонов атак.

«используя разрешения браузера для захвата обширных данных жертв, выходящих за рамки традиционного кражи учетных данных»

Риски и последствия

Последствия таких атак выходят далеко за рамки отдельных пользователей:

  • Кража биометрических данных (изображения и аудио) позволяет злоумышленникам выдавать себя за другого в видеозвонках и голосовых сообщениях.
  • Собранная информация годится для целевых фишинговых кампаний и сложных схем социальной инженерии.
  • Организации рискуют — утечки могут привести к компрометации клиентов, сотрудников и партнёров, подрыву процедур верификации и финансовым потерям (особенно в банковской сфере и на платформах социальных медиа).
  • Низкая операционная сложность атак делает их масштабируемыми и дешёвыми в реализации.

Почему это опасно

Сочетание хорошо подготовленных социальных сценариев и простых в развёртывании технических средств делает кампанию особенно опасной. Даже технически подкованные пользователи могут по ошибке предоставить разрешение, если интерфейс фишинговой страницы выглядит правдоподобно и предложение проверки кажется логичным.

Особенная угроза — это использование мультимедийных данных для обхода современных процедур верификации, которые всё чаще включают биометрические элементы.

Рекомендации по защите

Практические шаги для пользователей и организаций, снижающие риск успешной атаки:

  • Не предоставляйте доступ к камере и микрофону сайтам без безусловной уверенности в их подлинности. Проверяйте домен и контекст запроса.
  • Отключайте разрешения по умолчанию и включайте их вручную только по необходимости; используйте аппаратные заглушки для камеры и опции отключения микрофона.
  • Регулярно проверяйте и удаляйте нежелательные разрешения в настройках браузера.
  • Обучайте сотрудников алгоритмам распознавания фишинга: сомнительные сценарии восстановления доступа и «проверочные» процедуры должны вызывать настороженность.
  • Организациям: внедрять многофакторную аутентификацию, ограничивать критические операции дополнительными проверками, мониторить необычную активность с использованием Telegram и прочих каналов для эксфильтрации данных.
  • Инцидент-ответ: иметь готовые процедуры при обнаружении утечки мультимедийных или биометрических данных и координировать действия с правоохранительными органами.

Вывод: эта кампания отражает тревожную тенденцию — злоумышленники всё активнее комбинируют традиционный социальный инжиниринг с современными технологиями (включая AI), чтобы получать высококачественные данные без ввода логинов и паролей. Повышенная бдительность, изменение настроек приватности и корпоративные меры защиты — ключ к снижению рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: