СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
2 часа назад
#ИБ

Популярные мессенджеры оказались бессильны перед новой схемой кражи аккаунтов, применяемой русскими хакерами

Популярные мессенджеры оказались бессильны перед новой схемой кражи аккаунтов, применяемой русскими хакерами

изображение: grok

Украинские профильные ведомства совместно с ФБР раскрыли длительную фишинговую кампанию, где русскоязычные хакеры массово рассылают сообщения от имени службы поддержки мессенджеров. Жертв уговаривают добровольно передать данные авторизации, после чего аккаунт переходит под полный контроль преступников.

Под прицел атакующих попадают сразу несколько категорий пользователей. Украинские спецслужбы зафиксировали, что мишенью становятся представители самых разных сфер общественной и профессиональной жизни.

Основные категории жертв выглядят следующим образом:

  • госслужащие и сотрудники органов власти разного уровня;
  • политические деятели и парламентарии;
  • журналисты и работники медиа;
  • общественные активисты и волонтёрские объединения;
  • военнослужащие и сотрудники силовых структур;
  • рядовые граждане без какого-либо публичного статуса.

ФБР подключилось к расследованию операции на стадии анализа технической инфраструктуры атакующих. Совместная работа двух ведомств позволила выявить характерный почерк кампании и связать её с уже известными хакерскими кластерами.

Интересно, что преступники охотятся не только за крупной добычей вроде переписок чиновников или военных. Аналитики СБУ зафиксировали растущий интерес атакующих к учётным записям обычных людей — те идут в дело как стартовая площадка для следующих волн рассылок.

Что движет операторами этой кампании? Помимо очевидной кражи переписки, злоумышленников интересуют персональные данные жертв. Полученная информация затем используется для построения цепочек атак против контактов скомпрометированного пользователя, и каждый взломанный аккаунт превращается в плацдарм для новой волны рассылок.

Социальная инженерия остаётся главным оружием атакующих. Жертве приходит SMS, имитирующее официальное уведомление мессенджера, где речь идёт о подозрительной активности или необходимости срочно обновить настройки защиты. Дальше пользователя ведут по сценарию, в котором он сам выполняет действия, открывающие злоумышленникам доступ к аккаунту.

Технические приёмы атакующих состоят из нескольких проверенных схем:

  • рассылка SMS с поддельными уведомлениями о входе с нового устройства;
  • запросы кодов подтверждения под предлогом верификации;
  • подсовывание QR-кодов для привязки чужого устройства к аккаунту жертвы;
  • фишинговые ссылки на страницы, копирующие интерфейс настроек безопасности;
  • выманивание PIN-кодов и паролей через диалог с фейковой поддержкой.

Украинская сторона не назвала конкретную группировку, стоящую за этой волной. При этом исследователи кибербезопасности и раньше документировали схожие операции против аудитории Signal и WhatsApp — почерк указывал на русскоязычные кластеры Star Blizzard, UNC5792 и UNC4221, давно специализирующиеся на атаках по защищённым мессенджерам.

Стоит обратить внимание на параллель с недавним предупреждением ФБР про атаки на Signal. Там преступники добрались до ключей восстановления резервных копий — а это значит, что историю переписки можно вытащить, вообще не ломая сквозное шифрование. Сам криптографический протокол остаётся неуязвимым, рушится человеческое звено.

Легитимные сервисы вообще не работают через SMS-уведомления с просьбами что-то срочно подтвердить. Если сообщение требует немедленных действий с аккаунтом и грозит блокировкой, перед вами почти наверняка попытка фишинга. Подозрительные ссылки и вложения из незнакомых чатов лучше игнорировать без исключений.

CERT-UA в конце прошлого месяца обнародовала данные о смежной операции — атакующие тогда применяли уже взломанные учётные записи для рассылки вредоносного ПО OYSTERBLUES, маскируя письма под рабочую переписку контрагентов. Связь между двумя кампаниями пока официально не подтверждена, но тактика взаимного использования взломанных аккаунтов как точки опоры явно прослеживается в обеих операциях.

География поражённых пользователей выходит далеко за пределы постсоветского пространства, поскольку мессенджеры Signal и WhatsApp широко распространены в западных странах. Это и привлекло внимание ФБР к расследованию — американские пользователи также попадают в выборку атакующих, особенно те, кто связан с журналистикой, правозащитной деятельностью или госслужбой.

Эксперты редакции CISOCLUB заявили, что описанная кампания отражает закономерный поворот в логике хакерских операций против мессенджеров. Сквозное шифрование, на которое долго возлагали надежды как на универсальную защиту, перестало быть препятствием — атакующие просто обходят его через манипуляции с самим пользователем. Эта тенденция будет только усиливаться, поскольку социальная инженерия остаётся самым дешёвым и эффективным способом получения доступа к данным.

Редакция убеждена, что обучение пользователей базовой цифровой грамотности сегодня даёт больший эффект, чем любые технические новшества в области криптографии.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: