Злоумышленники стали применять новую схему с использованием приемов социальной инженерии. Схема заключается в том, чтобы заставить пользователям предоставить злоумышленникам свой пароль, введя его на фишинговом сайте.
Мошенническая схема основывается на возможности заказывать у соцсети выгрузку архива, содержащего данные, собранные за все время существования учетной записи. Получить архив своих данных может только сам пользователь, будучи авторизованным в своем аккаунте, а ссылка на него является уникальной и открывается только из профиля самого пользователя.
Атака происходит следующим образом: пользователю «ВКонтакте» приходит сообщение, будто архив со всей его перепиской в течение 24 часов будет отправлен на почту, при этом указанный адрес явно не принадлежит пользователю. Для отмены отправки архива жертве предлагается авторизоваться в своей учетной записи и сменить пароль, пройдя по ссылке, которая на самом деле ведет на фишинговый сайт. Одним из таких сайтов является vkarchives.com (в настоящее время уже удален).
Получив пароль для авторизации в учетной записи жертвы, злоумышленник действительно может выгрузить архив со всеми ее данными и воспользоваться ими в преступных целях. В архиве содержатся не только открытые данные, но также загруженные пользователем документы, привязки номеров телефона, список использованных банковских карт, история платежей и пр.
Мне бы хотелось еще раз акцентировать Ваше внимание на том, что, прежде чем вводить свои данные для авторизации или данные банковской карты, убедитесь, что Вы находитесь именно на том сайте, на котором и должны быть - нередко адреса фейковых сайтов отличаются очень незначительно, например, вместо microsoft.com, будет mikrosoft.com или что-то аналогичное.
Для большей безопасности я бы рекомендовал использовать антивирус и менеджер паролей. Я много лет пользуюсь менеджером паролей LastPass - это надстройка к браузеру, существующая для всех основных браузеров (Chrome, IE, Edge, Opera, Firefox). Удобство использования менеджеров паролей в том, что достаточно запомнить один мастер-пароль - остальные менеджер будет сам запоминать и вводить на сайтах при повторном их посещении. Еще одно удобство менеджеров паролей в том, что, если Вас, с какого-то сайта, перенаправили на фишинговую страницу (к примеру, похожую на Вконтакте), менеджер не будет вводить данные Вашего аккаунта, поскольку фишинговая страница для него будет неизвестным сайтом. Это может дать Вам сигнал насторожиться.
Это всего лишь мои мысли вслух.
Если Вам понравилась моя статья, не забудьте оценить её лайком и поделиться с друзьями в социальных сетях!
Если по содержимому данной статьи у Вас есть собственное мнение, поделитесь им в комментариях.
