Найти в Дзене
Уловка-32
3129 подписчиков

Как голосовые сообщения в WhatsApp используют для фишинга

2303
3 мин
Фишинговые письма с голосовыми сообщениями WhatsApp продвигают вредоносное ПО для кражи информации Обнаружена новая фишинговая кампания, выдающая себя за функцию голосовых сообщений WhatsApp и пытающаяся распространить вредоносное ПО для кражи информации по меньшей мере на 27 655 адресов электронной почты. Эта фишинговая кампания направлена на то, чтобы провести получателя через последовательность шагов, которые в конечном итоге завершаются установкой вредоносной программы, открывающей путь к учетным данным с последующей их кражей. Вредоносные программы для кражи информации сегодня активно распространяются различными способами, при этом фишинг остается основным каналом для угроз. Информация, похищаемая этими специализированными вредоносными программами, в основном представляет собой учетные данные, хранящиеся в браузерах и приложениях, а также криптовалютные кошельки, ключи SSH и даже файлы, хранящиеся на компьютере. Голосовые сообщения WhatsApp как приманка Новая фишинговая кампания г
Оглавление
Голосовые сообщения WhatsApp для фишинговой атаки на данные пользователя
Голосовые сообщения WhatsApp для фишинговой атаки на данные пользователя

Фишинговые письма с голосовыми сообщениями WhatsApp продвигают вредоносное ПО для кражи информации

Обнаружена новая фишинговая кампания, выдающая себя за функцию голосовых сообщений WhatsApp и пытающаяся распространить вредоносное ПО для кражи информации по меньшей мере на 27 655 адресов электронной почты.

Эта фишинговая кампания направлена на то, чтобы провести получателя через последовательность шагов, которые в конечном итоге завершаются установкой вредоносной программы, открывающей путь к учетным данным с последующей их кражей.

Вредоносные программы для кражи информации сегодня активно распространяются различными способами, при этом фишинг остается основным каналом для угроз.

Информация, похищаемая этими специализированными вредоносными программами, в основном представляет собой учетные данные, хранящиеся в браузерах и приложениях, а также криптовалютные кошельки, ключи SSH и даже файлы, хранящиеся на компьютере.

Голосовые сообщения WhatsApp как приманка

Новая фишинговая кампания голосовых сообщений WhatsApp была обнаружена исследователями из Armorblox, которые постоянно находятся в поиске новых фишинговых угроз.

На протяжении многих лет в WhatsApp существует возможность отправлять голосовые сообщения пользователям в группах и личных чатах, а на прошлой неделе эта функция получила новые усовершенствования.

Своевременная фишинговая атака выдает себя за уведомление от WhatsApp о получении нового личного сообщения. Это письмо содержит встроенную кнопку "Воспроизвести" и сведения о продолжительности и времени создания аудиоклипа.

Отправитель, маскирующийся под сервис "Whatsapp Notifier", использует адрес электронной почты, принадлежащий Центру безопасности дорожного движения Московской области.

Фишинговое письмо, выдающее себя за WhatsApp (Источник: Armorblox)
Фишинговое письмо, выдающее себя за WhatsApp (Источник: Armorblox)

Благодаря тому, что это подлинная и реально существующая организация, сообщения не отмечаются и не блокируются решениями по защите электронной почты, что обычно является самой большой проблемой для ПО, блокирующего фишинговые атаки.

Armorblox считает, что это случай, когда хакеры каким-то образом использовали домен Центра безопасности дорожного движения Московской области для продвижения своей "малвари" без ведома организации.

Если получатель нажимает на кнопку "Play" в теле сообщения, он перенаправляется на веб-сайт, который предлагает разрешить/запретить установку трояна JS/Kryptic.

Чтобы обмануть жертву и заставить ее нажать кнопку "Разрешить", субъекты угрозы отображают веб-страницу, на которой говорится, что вам нужно нажать кнопку "Разрешить", чтобы подтвердить, что вы не робот. Однако при нажатии на кнопку "Разрешить" пользователь подписывается на уведомления браузера, которые рассылают внутрибраузерную рекламу мошенничества, сайтов для взрослых и вредоносных программ.

Веб-сайт, на который устанавливается вредоносная программа (Источник: Armorblox)
Веб-сайт, на который устанавливается вредоносная программа (Источник: Armorblox)

Этот простой трюк может быть очень эффективным для людей, которые не осознают и не обдумывают свои действия в Интернете.

После нажатия кнопки "Разрешить" браузер предложит пользователю установить расширение, которое в данном случае представляет собой вредоносное ПО, похищающее информацию.

Как защитить себя

Тот факт, что письма в этой кампании обходили многочисленные защитные аспекты систем безопасности, делает этот случай особенно неприятным, но признаков того, что это фишинг, все равно предостаточно.

Во-первых, адрес электронной почты не имеет никакого отношения к WhatsApp, то же самое касается и URL-адреса, который просит жертв нажать кнопку "Разрешить", чтобы подтвердить, что они не являются роботами. И почта и url-сайта явно находятся вне доменного пространства WhatsApp.

Во-вторых, голосовые сообщения, полученные в WhatsApp, автоматически загружаются в клиентском приложении, поэтому мессенджер никогда не сообщает пользователям о получении сообщения по электронной почте.

В-третьих, на фишинговом письме нет логотипа WhatsApp (пока), что почти наверняка сделано для того, чтобы избежать проблем с проверкой VMC, введенной Gmail в прошлом году.

Чтобы защитить себя от попыток фишинга, убедитесь в отсутствии потенциальных признаков мошенничества при получении сообщений с неожиданными заявлениями и никогда не принимайте поспешных мер.

Если вам нужно что-то проверить, сделайте это самостоятельно через официальный сайт или приложение, и никогда не следуйте URL-адресам или инструкциям, указанным в сообщении.

Поверяйте подозрительные ссылки на VirusTotal, например.

1