Кибер-злоумышленники продолжают распространять в сообщениях Facebook ссылки на вредоносные сайты с текстом - «Это ты на этом видео?» Злоумышленники пытаются завладеть аккаунтами Facebook. Лучшая контрмера — игнорировать ссылки и направлять их в CERT-EE для анализа.
«На этом видео ты?»: жителей Эстонии предупреждают о хитрой схеме обмана (1)
До сих пор в Департамент государственной инфосистемы (RIA) сообщалось только о взломе аккаунтов Facebook, но тот же метод работает и в других средах. Это означает, что если злоумышленник попытается связаться с людьми через Instagram и перенаправить их на подозрительную ссылку, люди могут потерять свои аккаунты в Instagram.
На прошлой неделе CERT-EE - отдел киберинцидентов RIA - уведомили о взломе нескольких аккаунтов. Захват аккаунта начинается в окне чата Facebook. Пользователь Facebook получает сообщение от друга, в котором ему предлагают пройти по ссылке. Например, пишут следующий текст: «На этом видео ты?» Если человек нажимает на ссылку, происходит злонамеренная переадресация. Этот метод работает как на компьютере, так и на смарт-устройстве.
CERT-EE тщательно проанализировал, что происходит с пользователем после перехода по ссылке. Ссылка может привести пользователя на сайт с вредоносным фрагментом. С его помощью пытаются захватить и взять под контроль уже вошедшего в систему пользователя или заполучить данные человека. Ни в коем случае не переходите по подозрительной ссылке.
Руководитель CERT-EE Тыну Таммер подчеркнул, что теоретически такая атака работает в большинстве социальных сетей и что метод атаки технически не слишком сложен. «В целом преступники не хотят тратить много ресурсов на захват аккаунтов. Этот метод недорогой и быстрый и работает как на компьютере, так и на смарт-устройстве. Мы всегда рекомендуем людям использовать двухэтапную аутентификацию, но анализ текущего мошенничества показал, что двухэтапная аутентификация не защищает от этого метода атаки. Это означает, что лучшая защита — это бдительность и осведомленность людей, а также нельзя переходить по ссылке», — сказал Таммер.
Сообщите в CERT-EE о письмах
Пользователи, получившие вредоносную ссылку, должны сообщить об этом в RIA. «Для нас важно собрать как можно больше информации об атаках. Если мы получим еще не открытую веб-ссылку, мы можем точно узнать, что делается с пользователем на этом сайте. Мы также можем занести такие ссылки в черный список. Тогда люди, установившие приложение RIA на свои смарт-устройства, будут защищены от таких ссылок», — сказал Таммер.
Приложение Encrypted DNS, созданное RIA, блокирует вредоносные программы и фишинг и использует DNS для фильтрации вредоносных ссылок. Более подробную информацию о приложении можно найти здесь.
Захват аккаунта происходит быстро, возвращение — долгий процесс
Преступники используют захваченные аккаунты для отправки новых мошеннических сообщений и ссылок, поэтому Facebook может ограничить чаты этого пользователя. «Это может привести к ситуации, когда человек понимает, что от его имени рассылают мошеннические письма, но он не может написать своим контактам, поскольку Facebook закрыл или ограничил возможность общения в качестве превентивной меры. В этом случае пользователь может, например, написать на своей стене, чтобы сообщить, что от его имени могут распространяться мошеннические письма», — посоветовал Таммер.
Прежний анализ CERT-EE показал, что пользователь, который делится подозрительной ссылкой, отвечает человеку, который ему пишет. «Мы знаем случаи, когда бот, работающий в захваченном аккаунте, просто отвечал «да» на вопросы людей. Не исключено, что при усовершенствовании бота, он еще что-то скажет. Вполне вероятно, что бот настроен реагировать на человека, чтобы получать подозрительной ссылки доверился собеседнику и нажал на ссылку», — сказал Таммер.
После того, как злоумышленники получают аккаунт человека в социальной сети, они меняют пароль, номер телефона и адрес электронной почты. Это значительно усложняет, если не делает невозможным, восстановление аккаунта.
Пользователи, аккаунт в социальной сети которых связан с банковской картой, должны быть особенно бдительны с такими ссылками. Это может позволить преступникам купить рекламу для какой-то другой страницы или продукта.
CERT-EE обнаружил, что в некоторых случаях пользователь, нажимающий на ссылку, быстро перенаправляется на домашнюю страницу известного сайта, например YouTube. Таким образом, человек может даже не заметить, что произошло что-то злонамеренное. Весь процесс занимает меньше секунды.
Департамент просит людей, получивших подозрительную ссылку, сообщить об этом через среду report.cert.ee или отправить письмо в свободной форме на адрес cert@cert.ee.
Что делать человеку, если он нажмет на такую ссылку? Шаги нужно делать в таком порядке!
1. Убедитесь, что в настройках по-прежнему указан правильный номер телефона (если он был добавлен ранее);
2. Убедитесь, что ваш адрес электронной почты по-прежнему связан с вашим аккаунтом Facebook и не был изменен;
3. Измените пароль;
4. Активируйте двухэтапный вход (руководство Facebook о том, как это сделать);
5. В Facebook выберите «Настройки и конфиденциальность» -> «Настройки» -> затем слева в меню «Безопасность и вход» -> «Активные сеансы» -> нажмите кнопку «Выйти из всех сеансов»
6. Войдите в Facebook еще раз.