«На этом видео ты?»: жителей Эстонии предупреждают о хитрой схеме обмана (1)

До сих пор в Департамент государственной инфосистемы (RIA) сообщалось только о взломе аккаунтов Facebook, но тот же метод работает и в других средах. Это означает, что если злоумышленник попытается связаться с людьми через Instagram и перенаправить их на подозрительную ссылку, люди могут потерять свои аккаунты в Instagram.

На прошлой неделе CERT-EE - отдел киберинцидентов RIA - уведомили о взломе нескольких аккаунтов. Захват аккаунта начинается в окне чата Facebook. Пользователь Facebook получает сообщение от друга, в котором ему предлагают пройти по ссылке. Например, пишут следующий текст: «На этом видео ты?» Если человек нажимает на ссылку, происходит злонамеренная переадресация. Этот метод работает как на компьютере, так и на смарт-устройстве.

CERT-EE тщательно проанализировал, что происходит с пользователем после перехода по ссылке. Ссылка может привести пользователя на сайт с вредоносным фрагментом. С его помощью пытаются захватить и взять под контроль уже вошедшего в систему пользователя или заполучить данные человека. Ни в коем случае не переходите по подозрительной ссылке.

Руководитель CERT-EE Тыну Таммер подчеркнул, что теоретически такая атака работает в большинстве социальных сетей и что метод атаки технически не слишком сложен. «В целом преступники не хотят тратить много ресурсов на захват аккаунтов. Этот метод недорогой и быстрый и работает как на компьютере, так и на смарт-устройстве. Мы всегда рекомендуем людям использовать двухэтапную аутентификацию, но анализ текущего мошенничества показал, что двухэтапная аутентификация не защищает от этого метода атаки. Это означает, что лучшая защита — это бдительность и осведомленность людей, а также нельзя переходить по ссылке», — сказал Таммер.

Сообщите в CERT-EE о письмах

Пользователи, получившие вредоносную ссылку, должны сообщить об этом в RIA. «Для нас важно собрать как можно больше информации об атаках. Если мы получим еще не открытую веб-ссылку, мы можем точно узнать, что делается с пользователем на этом сайте. Мы также можем занести такие ссылки в черный список. Тогда люди, установившие приложение RIA на свои смарт-устройства, будут защищены от таких ссылок», — сказал Таммер.

Приложение Encrypted DNS, созданное RIA, блокирует вредоносные программы и фишинг и использует DNS для фильтрации вредоносных ссылок. Более подробную информацию о приложении можно найти здесь.

Захват аккаунта происходит быстро, возвращение — долгий процесс

Преступники используют захваченные аккаунты для отправки новых мошеннических сообщений и ссылок, поэтому Facebook может ограничить чаты этого пользователя. «Это может привести к ситуации, когда человек понимает, что от его имени рассылают мошеннические письма, но он не может написать своим контактам, поскольку Facebook закрыл или ограничил возможность общения в качестве превентивной меры. В этом случае пользователь может, например, написать на своей стене, чтобы сообщить, что от его имени могут распространяться мошеннические письма», — посоветовал Таммер.

Прежний анализ CERT-EE показал, что пользователь, который делится подозрительной ссылкой, отвечает человеку, который ему пишет. «Мы знаем случаи, когда бот, работающий в захваченном аккаунте, просто отвечал «да» на вопросы людей. Не исключено, что при усовершенствовании бота, он еще что-то скажет. Вполне вероятно, что бот настроен реагировать на человека, чтобы получать подозрительной ссылки доверился собеседнику и нажал на ссылку», — сказал Таммер.

После того, как злоумышленники получают аккаунт человека в социальной сети, они меняют пароль, номер телефона и адрес электронной почты. Это значительно усложняет, если не делает невозможным, восстановление аккаунта.

Пользователи, аккаунт в социальной сети которых связан с банковской картой, должны быть особенно бдительны с такими ссылками. Это может позволить преступникам купить рекламу для какой-то другой страницы или продукта.

CERT-EE обнаружил, что в некоторых случаях пользователь, нажимающий на ссылку, быстро перенаправляется на домашнюю страницу известного сайта, например YouTube. Таким образом, человек может даже не заметить, что произошло что-то злонамеренное. Весь процесс занимает меньше секунды.

Департамент просит людей, получивших подозрительную ссылку, сообщить об этом через среду report.cert.ee или отправить письмо в свободной форме на адрес cert@cert.ee.