Наткнулся на любопытный кейс, сочетающий социальную инженерию и легитимный механизм ВК — авторизацию через QR. Фишингом это назвать сложно, тут жертве не нужно вводить логин, пароль или код из СМС. Всё работает на уже существующей, валидной сессии, а «посадочная страница» размещается на домене самого ВКонтакте — никакой мороки с покупкой хостинга и маскировкой ссылок.
Суть проста. QR-код с главной страницы веб-версии ВК содержит временную ссылку для входа. Достаточно её извлечь, и любой перешедший по ней одним нажатием подтверждает передачу доступа к своему аккаунту. Важный нюанс: код живёт всего три минуты, так что действовать нужно оперативно — либо вручную обновлять ссылку в ловушке, либо автоматизировать процесс.
Как это выглядит на практике. Создается закрытое сообщество, в его настройках в поле «Сайт» размещается та самая ссылка из QR (она будет кликабельна и видна даже не подписчикам). Группа оформляется под интересы цели. Затем готовится пост с размытым до состояния силуэта снимком (блюр дает особый эффект приватности) и текстом вроде «Материалы доступны только подписчикам. Пользователь видит закрытую группу с единственной активной ссылкой «Сайт», нажимает — и доступ к его странице получен.
С точки зрения атакующего это гораздо эффективнее классического фишинга: не надо выдумывать легенду, заставлять вспоминать пароль и убеждать, что перед тобой настоящий ВК. С точки зрения пользователя — напоминание, что легитимный интерфейс ещё не гарантия безопасности. Если вас просят перейти по странной ссылке и нажать «Продолжить» — остановитесь, даже когда экран выглядит знакомо. Берегите свои сессии и не позволяйте социальной инженерии играть на эмоциях.
