Личность в архиве: эксперты рассказали о новой атаке на пользователей ВКонтакте

Логотип компании
14.01.2021Автор
Личность в архиве: эксперты рассказали о новой атаке на пользователей ВКонтакте
ВКонтакте позволяет выгрузить архивом все данные, которые социальная сеть собрала за время существования аккаунта, включая диалоги, привязки к телефонным номерам, документы, истории платежей.

Центр цифровой экспертизы Роскачества зафиксировал фишинговую кибератаку на аккаунты ВКонтакте, благодаря которой злоумышленники похищают пароли пользователей для дальнейшего взлома страниц.

ВКонтакте позволяет выгрузить архивом все данные, которые социальная сеть собрала за время существования аккаунта, включая диалоги, привязки к телефонным номерам, документы, истории платежей, списки использованных банковских карт и т.д. Заказать выдачу архива может только сам пользователь, залогиненный в свой аккаунт, и сделать это извне нельзя. Тем не менее, именно такую атаку имитирует злоумышленник для получения доступа к странице пользователя, играя на страхе жертвы, что ее переписки утекут в чужие руки.

Схема атаки использует классический прием: человеку приходит (на почту, через push-уведомления или личным сообщением) сообщение вида «архив на все ваши переписки будет создан через 24 часа и отправлен на почту XXX». В качестве почты указывается очевидно не принадлежащий пользователю ящик, по типу artem*****@mail. ru. Далее пользователю предлагают войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке.

Однако ссылка фишинговая и ведет каждый раз на разные сайты, имеющие vk в названии. По форме, как и по внешнему виду страницы, она очень похожа на настоящую.

В качестве примера эксперты приводят сайт vkarchives.com, который к моменту написания данного материала был удален, а переход по данной ссылке был заблокирован Агентами безопасности ВКонтакте.

Так что же происходит дальше?

Если пользователь введет свой пароль в форме фейкового сайта, он буквально передаст свой аккаунт прямо в руки хакеру. После этого злоумышленник сможет использовать аккаунт в своих целях, включая рассылку спама с украденной страницы и совершение платежей.

Небольшой чеклист, позволяющий обезопасить себя:

  • Не переходите по ссылкам из сообщений, играющих на эмоциях (как негативных «вас взломали», так и позитивных «вы выиграли»).

  • Никогда не вводите свои пароли и логины на посторонних сайтах и внимательно проверяйте адрес страницы, на которой вы находитесь.

  • В случае возникновения неясной ситуации с безопасностью аккаунта, меняйте пароль, читайте официальный FAQ и обращайтесь в техническую поддержку – не геройствуйте. Лучше усомниться в своих знаниях, чем восстанавливать потом везде доступ.

  • Пользуйтесь двухфакторной аутентификацией (2ФА).

  • Если вы переходили ранее по подобным ссылкам (или не уверены, не забыли ли вы об этом), то смените пароль хотя бы сейчас.

ВКонтакте отдельно подчёркивает, что скачать персональный архив с данными профиля без подтверждения с привязанного к аккаунту устройства нельзя, а уникальную ссылку для скачивания невозможно открыть из другого профиля. Вдобавок можно зашифровать сам архив с помощью персонального ключа OpenPGP.

Читайте также
Почему даже системные администраторы должны работать в строго контролируемых рамках? IT-World разбирался, как PAM поможет защитить и администратора и всю компанию от неприятных сюрпризов.

Похожие статьи