Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA, яка діє у складі Державної служби спеціального зв’язку та захисту інформації, попередила про зростання популярності нового способу викрадення акаунтів у громадян. Зловмисники розповсюджують у месенджерах повідомлення з тематикою голосування за дітей, які беруть участь у мистецьких конкурсах.
Як зазначається у релізі Держспецзв’язку, такі кібератаки спрямовані на отримання доступу до облікових записів популярних месенджерів, у тому числі із застосуванням технік обходу двофакторної автентифікації.
За словами фахівців, спочатку жертвам надсилають повідомлення із закликом взяти участь у голосуванні у конкурсах мистецької діяльності. Для цього пропонується перейти за посиланням на вебресурс та “авторизуватися” за допомогою месенджера, щоб віддати свій голос. Проте замість авторизації жертви на сервісі відбувається авторизація акаунта жертви на сторонньому пристрої, після чого зловмисники отримують повний доступ до акаунту, який вже слід вважати скомпрометованим.
Підкреслюється, що викрадені акаунти зловмисники перш за все використовують для розповсюдження повідомлень з посиланнями серед контактів жертви, в тому числі шляхом використання існуючих чи створення нових груп. Загалом викрадені облікові записи застосовуються для монетизації за різними шахрайськими схемами.
Серед ознак схеми перелічується використання слів, пов’язаних з тематикою голосування та мистецтва, у доменних іменах фішингових сайтів — наприклад, “малюнки”, “художник”, “бал”, “діти”, “конкурс”, “голосування” тощо. Користувачі отримують відповідні повідомлення від незнайомих осіб, а посилання в повідомленні веде на невідомий вебсайт.
В разі отримання такого повідомлення CERT-UA радить ігнорувати посилання та зазначати жодних даних, а також, можливо, попередити справжнього власника акаунта-відправника, що його дані скомпрометовано. Також користувач може перевірити налаштування на предмет підключених до месенджера пристроїв і завершити невідомі сесії.
У Держспецзв’язку підкреслили, що зловмисник матиме технічну можливість так само завершити сесію власника акаунту, якщо період несанкціонованого доступу до акаунту триватиме більше ніж 24 години. У цій ситуації користувач зможе повторно автентифікуватися, але цю сесію також зможуть завершити через добу. Тому найвірнішим варіантом повернення облікового запису там називають його видалення разом з усіма повідомленнями та даними та його перереєстрація.