Актуальные пользовательские уязвимости

В связи с участившимися случаями взлома, угона и заражения, с которыми к нам обращаются, мы хотим рассказать вам об самых актуальных на данный момент методах обмана пользователей фишинговыми страницами для кражи учетных записей почтовых аккаунтов, а также WhatsApp аккаунтов. Некоторые из них даже крадут ваши ЭЦП ключи.

В наших статьях будет несколько интересных кейсов, пожалуйста, расскажите об этих случаях своим сотрудникам, коллегам, друзьям и родственникам, чтобы они не попались на эти уловки.

Итак, первый случай у нас связан с mail.ru аккаунтом.

К нам начали часто поступать заявки от бдительных сотрудников наших клиентов, с просьбой проверить письмо на вредоносность.

Мы регулярно «страшим» своих клиентов и в целом большая часть из них держит ухо в остро, но все же бывают случаи когда сотрудник пренебрегает безопасностью своей и компании где работает.

Первый интересный и до сих пор актуальный кейс – это фишинговая страница mail.ru, в которой вас просят ввести ваш почтовый аккаунт, для якобы просмотра вложения.
Фишинговая страница – это такая страница, которая оформлена как оригинал и полностью ее эмитирует, вводя пользователя в заблуждение и усыпляя его бдительность, он на автопилоте начинает заполнять ее.

Начинается все с того, что к вам на почту падает такое вот сообщение с каким-то размытым документом в теле сообщения. Документ похож на бухгалтерский документ, счет, счет-фактуру, АВР или накладную. Его практически не видно, как будто плохое качество. Вы интуитивно нажимаете на него, чтобы увеличить и попадаете на фишинговую страницу облака mail.ru.
Что же первым вас должно насторожить и на что вы должны обратить внимание?

Адрес страницы. Это первый показатель. Все что отличается от оригинальных адресов https://mail.ru, https://cloud.mail.ru – фейковая фишинговая страница. Если вы в адресной строке браузера видите что-то непонятное, закрывайте смело страницу. Но, нужно сказать, что некоторые взломщики очень стараются с оформлением и бывает адрес ну очень похож на оригинал. Например могут написать https://cloudmail.ru, или https://mall.ru, т.е. любые попытки замены символа на визуально похожий.
Оформление страницы. Она выглядит по оформлению обычно не такой как оригинал. Где-то не совпадают шрифты, стилистика, картинки не очень качественные. Да, заметить это куда сложнее и глаз должен быть наметан, но вы всегда можете рядом открыть например оригинальную страницу облака mail.ru для сравнения.
Страница всегда просит авторизоваться, вбить данные аккаунта.

Такое письмо вы видите:

 Выглядит такая страница вот так:

Следом просят данные для авторизации:

Нажимаете скачать, ничего не происходит и просто появляется оригинальная страница облака mail.ru.

В этот момент, данные, которые вы вбили в окно авторизации уже отправлены взломщику, и он ими завладел.

К сожалению, такой метод "взлома" по сути не является "взломом", а несет на себе оттенок обмана в социальном и правовом поле, но с точки зрения технической, вы просто добровольно и открыто отдали кому-то свои данные. В этом случае антивирусам и прочим системам защиты, крайне трудно противостоять этому виду атак, просто потому, что весь "программный комплекс", "исходный код" не является по сути своей вредоносным, соответственно и в базу данных систем защиты он может попасть только после нескольких кейсов\жалоб от пользователей, но это, всего лишь отнимет время у злоумышленника на смену хостинга и доменного имени фишинговой страницы.

Все сервисы знают об этих уловках и поэтому уже в обязательном порядке вводят так называемые двухфакторую аутентификацию.

Это означает, что кроме первого фактора (логин и пароль), должен быть еще и успешный второй фактор. Чаще всего это либо приходящий одноразовый код на номер телефона, который был привязан к аккаунту или же так называемые приложения аутентификаторы (такие как яндекс ключ, google, Microsoft, и прочие). Но с этим тоже есть пара интересных кейсов, о которых мы расскажем позже.

Будьте начеку и берегите свои данные!