Zoomеречная зона: мошенники угоняют аккаунты предпринимателей в Google и Telegram под видом видеоконференции

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, обнаружила новый сценарий угона аккаунтов предпринимателей и менеджеров в сервисах Google и Telegram. Злоумышленники связываются с потенциальными жертвами под предлогом обсуждения возможного сотрудничества и отправляют фишинговую ссылку, замаскированную под приглашение на видеоконференцию в Zoom.

Аналитики департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 зафиксировали новый сценарий компрометации Google-аккаунтов и угона учетных записей в Telegram.

С потенциальными жертвами – руководителями, владельцами малого и среднего бизнеса – связывается в Telegram мошенник, который разыгрывает роль потенциального клиента. Собеседник просит проконсультировать его по услугам компании и предлагает сделать это в Zoom, где у него якобы бизнес-версия, в которой удобнее общаться.

После согласия жертвы мошенник направляет ссылку на видеоконференцию в Zoom, которая даже при беглом взгляде отличается от легитимной. После перехода по ней пользователь должен пройти несколько капч, а затем ему предлагается ввести данные для входа в Google-аккаунт на фишинговой странице. Капча в данном случае может использоваться для противодействия автоматизированным инструментам информационной безопасности. Уже после ввода данных учетной записи Google фишинговая страница запрашивает код подтверждения, который приходит уже в Telegram и нужен злоумышленникам для угона аккаунта в мессенджере. Для дополнительного давления на пользователя мошенник в это время пишет или звонит с просьбами поторопиться.

После получения доступа к учетной записи в Google злоумышленники, как правило, первым делом проверяют привязанные к нему аккаунты в криптокошельках и криптобиржах, но могут также использовать скомпрометированную учетную запись  для поиска чувствительной информации, доступа к банковским сервисам и другим ресурсам.

«Мы видим новую комбинированную фишинговую схему, нацеленную на пользователей в бизнес-среде. Сценарий повторяет классические тактики мошенников – переписка в мессенджере, а затем фишинговая ссылка, а минимальное обновление легенды – переход к атакам под видом потенциальных клиентов с поддельной ссылкой на Zoom – делает схему эффективной. При этом явно ненастоящая ссылка на Zoom, необходимость вбивать логин и пароль, даже если они были сохранены в браузере, подозрительная капча, код Telegram – всё это должно заставить жертву задуматься».

Мария Синицына

Старший аналитик департамента Digital Risk Protection компании F6

Рекомендации специалистов F6:

• Включите все доступные инструменты защиты аккаунтов в почтовых сервисах, мессенджерах и других сервисах;
• Не переходите по подозрительным ссылкам от незнакомцев или как минимум соблюдайте правила цифровой гигиены. Критически относитесь к ссылкам, которые вам присылают незнакомцы;
• Сравнивайте адреса с легитимными ресурсами, используйте бесплатные whois-сервисы для проверки даты создания ресурса;
• Всегда учитывайте, соответствует ли запрос сервису: для доступа к видеоконференции в Zoom не требуется код безопасности аккаунта в Telegram или повторный ввод данных для входа в учетку Google;
• Если незнакомый собеседник вас торопит – вполне возможно, он злоумышленник, который применяет социальную инженерию и заставляет вас сделать необдуманное действие;
• Не храните пароли, коды доступа в почте или мессенджере.