Новый способ кражи аккаунтов: голосование в мессенджерах

Государственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA, действующая в составе Госспецсвязи, фиксирует увеличение числа кибератак, направленных на доступ к аккаунтам популярных мессенджеров, включая методы обхода двухфакторной аутентификации. Враждебная активность отслеживается по идентификатору UAC-0195.

Схема атаки:

1. Злоумышленники распространяют в Telegram и других мессенджерах (WhatsApp) сообщения о голосовании за детей, участвующих в конкурсах художественной деятельности (изобразительное, сценическое искусство и т. д.).
2. Жертве предлагается перейти по ссылке на веб-ресурс и «авторизоваться» через мессенджер, чтобы отдать свой голос или выбрать участника.
3. При сканировании QR-кода и/или вводе номера телефона и одноразового кода в аккаунт жертвы добавляется стороннее устройство, после чего аккаунт считается скомпрометированным.
4. Украденные аккаунты используются для распространения сообщений с ссылками среди контактов жертвы, включая создание новых групп.
5. Впоследствии украденные аккаунты применяются для монетизации по различным мошенническим схемам.

Признаки атаки:

• Использование слов, связанных с голосованием и искусством, в доменных именах фишинговых сайтов (например, «рисунки», «художник», «бал», «дети», «конкурс», «голосование»).
• Незнакомые люди отправляют сообщения с просьбой проголосовать или выбрать конкурсанта.
• Ссылка в сообщении ведет на неизвестный веб-сайт.

Что делать, если вы получили такое сообщение:

• Не переходите по ссылкам и не вводите данные, даже если просьбы исходят от знакомых людей.
• Предположите, что аккаунт отправителя скомпрометирован, и немедленно сообщите ему об этом по телефону.

Что делать, если ваш аккаунт скомпрометирован:

1. Срочно проверьте настройки на предмет подключенных устройств и завершите неизвестные сеансы.
2. Если несанкционированный доступ длится более 24 часов, злоумышленник сможет завершить ваш сеанс. Вы сможете повторно авторизоваться, но сеанс также завершат через сутки.
3. Один из вариантов возврата аккаунта – его удаление вместе со всеми сообщениями и данными, а затем повторная регистрация.

Важно:

• Настройте многофакторную аутентификацию для аккаунта в мессенджере.
• Будьте бдительны и не доверяйте незнакомым людям, отправляющим сообщения с просьбами проголосовать.
• При подозрении на компрометацию аккаунта немедленно сообщите об этом CERT-UA (cert@cert.gov.ua, моб. +38 (044) 281-88-25).