В Telegram, WhatsApp и Max началась масштабная фишинг-атака, ворующая биометрические данные через камеру
В распространенных в РФ мессенджерах началась массовая фишинг-атака с помощью отправки якобы PDF файла, сообщили участники рынка. С подобной схемой мошенничества столкнулась и редакция SecPost в национальном мессенджере Max. Целью атаки называется получение биометрических данных жертвы через фронтальную камеру устройства, позже данные могут использоваться для микрозаймов или шантажа.
В мессенджерах Telegram, WhatsApp (принадлежит Meta, признанной в России экстремистской и запрещенной организацией), Max (разрабатывает VK) и др. распространяется масштабная схема фишинга: злоумышленники работают по модели PhaaS (Phishing-as-a-Service), ориентированной на физических лиц, сообщили SecPost специалисты по наступательной информационной безопасности из Singleton Security. Цель — получить уже не учётные, а биометрические данные — изображения лиц пользователей через доступ к фронтальной камере устройства.
Как объяснили SecPost в Singleton Security, потенциальной жертве злоумышленники писали в мессенджерах, представлялись бухгалтером и отправляли форматированную строку вида «ФИО.pdf». «Визуально она выглядела как обычный PDF-документ, но фактически была ссылкой на фишинговый ресурс», — предупреждают специалисты. После перехода пользователь попадал на страницу, которая запрашивала доступ к камере, скрытно делала снимки лица и отправляла их на сервер злоумышленников. Затем содержимое страницы подменялось экраном, имитирующим успешную авторизацию на портале «Госуслуги» по биометрическим данным. Главной угрозой такого сценария является сочетание снимка в купе с паспортными данными, которые можно достать из утечек, а уже используя эти данные можно оформить онлайн займы в МФО на имя жертвы, создать дипфейк для шантажа и просто перепродать данные, предупреждают специалисты.
С подобной схемой мошенничества в национальном мессенджере Max столкнулись и сотрудники SecPost. Мошенник, представившись «Юлией из бухгалтерии», сообщил, что необходимо «заполнить индексацию», после этого отправив файл с ФИО сотрудника редакции. Через сервис распознавания телефонных номеров Getcontact выяснилось, что «Юлия» в большинстве телефонов записана как «Богдан». Через несколько дней контакт был удален из мессенджера Max.
В четверг, 28 мая, SecPost писал, что у федеральных органов власти появились целевые показатели по использованию национального мессенджера Max. В приложении должны быть созданы каналы ведомств, с его помощью должен вестись внутренний кадровый документооборот и оказываться госуслуги. Кроме того, в Max должны перейти подведомственные бюджетные учреждения – школы со школьными чатами, вузы с чатами студентов, лечебные учреждения и МФЦ.
После публикации материала в пресс-службе Max заявили, что специалисты мессенджера блокируют фишинговые ссылки автоматизированными системами и специалистами центра.
Фишинг в мобильных приложениях опаснее фишинга в браузерах, предупреждает в беседе с SecPost источник на ИБ-рынке. По его словам, мобильные приложения стараются не уводить пользователя на сторонние ресурсы и имеют функции отображения веб-страниц прямо в собственном интерфейсе. «Некоторые реализации скрывают адресную строку, и пользователь не имеет возможности увидеть, что в данный момент просматривает фишинговую веб-страницу, а не приложение мессенджера», — говорит он. Также, продолжает собеседник, атакующим часто приходятся кстати различные особенности отображения текста, вложений и ссылок на экране с чатом. «Эти особенности могут и не быть уязвимостями, но отлично подойдут как инструмент для более убедительного фишинга. Искать такие особенности удобно средствами реверс-инжиниринга: статическим и динамическим анализом. До сих пор большинство приложений никак этому не противодействует, а использование нейросетей позволяет сделать этот процесс быстрым, дешевым и массовым», — подчеркивает он.
Данный метод мошенничества демонстрирует новый виток подходов социальной инженерии: основной целью злоумышленников становится не только доступ к приложению, но и к учетной записи на «Госуслугах», говорит эксперт в области кибербезопасности, аналитик компании «Газинформсервис» Ирина Дмитриева. По ее словам, кража неотчуждаемых данных через камеру, при слабых механизмах проверки пользователя на конечных устройствах, может приводить к успешной компрометации аккаунтов. «Зачастую бдительность усыпляет присланный документ в знакомом формате (например, pdf), где пользователь не будет ждать подвоха. Схема труднореализуема в случае, когда попадается опытный пользователь, но невероятно просто работает на пользователях, кто не обращает внимания, куда и зачем перешел после открытия файла, а также какие разрешения предоставляет на своем устройстве в момент появления всплывающего окна уведомления», — уточняет Дмитриева.
По рекомендации эксперта компании «Газинформсервис», пользователям мессенджеров необходимо в ручную проверять домен сайта, запрашивающего доступ к камере.
