Спам-сообщения часто маскируются под срочные просьбы от знакомых. Но что, если такое сообщение приходит из взломанного аккаунта вашего близкого человека.
Типичная фраза для спам-рассылки звучит так: «Неудобно обращаться, будет возможность занять 35 000 на карту, на 2–3 часа? У меня лимиты, не могу человеку перевести». Такая схема, построенная на искусственной срочности, благовидном предлоге и игре на доверии, может показаться незначительной, даже если придет от родного человека. Однако ситуация кардинально меняется, когда подобный текст отправляется через личные сообщения в мессенджере МАХ.
В редакцию ИА «ДОН 24» обратилась Инна, обычный российский пользователь. Ее случай уникален тем, что от подобного развития событий не застрахован никто. Эксперты донской IT-компании ЮБИТЕК – директор по информационной безопасности Роман Усатый и генеральный директор Алексей Тактаров – рассказали, как это произошло и как обезопасить себя.
Сообщение от мошенников было отправлено всем контактам Инны одновременно, пока ее телефон лежал без дела. О произошедшем она узнала от встревоженных знакомых, которые массово звонили, сообщая о возможном взломе. Попытка открыть приложение МАХ обернулась неудачей: Инну выбросило из аккаунта, и войти обратно не получалось. После нескольких безуспешных попыток система предложила удалить аккаунт, на что Инна согласилась. Затем она обратилась в службу поддержки.
Ответ службы поддержки был следующим:
«Ваш профиль заблокирован из-за подозрений на взлом. Чтобы мы могли помочь восстановить доступ, ознакомьтесь с инструкцией и следуйте всем ее пунктам».
Специалисты МАХ предположили, что на устройстве Инны мог оказаться троянский вирус. Они рекомендовали:
- Включить на телефоне безопасный режим.
- Удалить подозрительные приложения (неизвестные, с бессмысленными названиями или установленные незадолго до возникновения проблемы).
- Отключить права доступа для сомнительных служб в настройках.
- Просканировать устройство антивирусом.
- Сменить все важные пароли на другом устройстве.
- В крайнем случае – сбросить настройки устройства до заводских.
Инна провела сканирование, но вирусы обнаружены не были. Ее попросили отправить скриншот результата.
И затем… наступила тишина.
Через 10 дней Инне удалось создать новый аккаунт на тот же номер телефона. Она сделала это наугад, поскольку приложение было необходимо ей для работы.
Советы из поисковиков сводились либо к профилактике (установка пароля и двухфакторной аутентификации), либо к рекомендации завершить в приложении все активные сессии, кроме текущей. Как это сделать, если доступ к профилю утерян, для Инны осталось загадкой.
В поисках решения женщина обратилась в МФЦ, вспоминая, что эта структура активно взаимодействует с приложением, надеясь на наличие универсальных инструкций. Однако в центре ей сообщили, что распоряжений по работе с подобными случаями к ним не поступало, и сами они не имеют никакого отношения к МАХ.
На фоне инцидента стоит отдельно упомянуть явно мошеннические ресурсы, которые обещают оперативное восстановление доступа к утерянному аккаунту, «напрямую взаимодействуя» с техподдержкой приложения. Конечно, за кругленькую сумму, и, разумеется, с исключительно позитивными отзывами от «клиентов». В самом дальнем углу сайта, мудреной формулировкой, указывается, что к национальному мессенджеру они отношения не имеют. Но дизайн сайта, в частности цветовая схема, здорово усыпляет бдительность – явно на то и рассчитано.
В пресс-службе МАХ официально комментировать происходящее не стали. Они остановились на версии, что Инна, вероятнее всего, скачала какой-то вредоносный файл – картинку или документ. Настоятельная рекомендация – применить антивирус, предпочтительно «Касперский», сохранилась. Правда, Инна сделала это сразу же после просьбы сотрудника службы поддержки.
В поддержке ей по сей день так и не ответили. Сама пользователь уверена, что в тот день ничего не открывала и не скачивала, и на подозрительных ресурсах свои данные не оставляла. Хотя этого могло и не понадобиться.
Вывод «Касперского», как ни парадоксально, совсем не означает, что устройство не было скомпрометировано. Роман Усатый, директор по информационной безопасности ЮБИТЕК, объясняет: «Современные вирусы и вредоносные программы становятся всё более изощрёнными. Они могут быть написаны таким образом, чтобы не детектироваться стандартными антивирусами, особенно если это целевая атака или новый, ещё не известный сигнатурам вирус. Кроме того, взлом мог произойти не через прямое заражение устройства, а через фишинговую атаку или перехват сессии».
Алексей Тактаров, генеральный директор ЮБИТЕК, добавляет: «Наиболее вероятный сценарий в данном случае – это перехват сессии или использование уязвимости в самом приложении МАХ. Если Инна не скачивала ничего подозрительного и не переходила по сомнительным ссылкам, то возможно, злоумышленники использовали методы, не требующие прямого взаимодействия с пользователем. Например, это мог быть SIM-свопинг (перевыпуск SIM-карты на имя злоумышленника), что позволило бы им получить SMS с кодом подтверждения для входа в аккаунт. Или же, если в приложении МАХ была обнаружена и использована уязвимость, позволяющая получить доступ к аккаунтам без прямого ввода пароля или кода».
Возможные сценарии взлома, по мнению экспертов:
- Фишинг, не связанный с загрузкой файлов: Инна могла перейти по ссылке, которая выглядела как официальная страница МАХ или другого сервиса, и ввести свои данные (номер телефона, пароль). Даже если она не скачивала файлы, ввод данных на поддельном сайте мог привести к компрометации.
- Перехват сессии: Если Инна использовала МАХ на общедоступном Wi-Fi или её устройство было заражено шпионским ПО, которое не детектируется антивирусом, злоумышленники могли перехватить её активную сессию и получить доступ к аккаунту.
- SIM-свопинг: Этот метод позволяет злоумышленникам получить дубликат SIM-карты жертвы, что даёт им возможность получать SMS-сообщения, включая коды подтверждения для входа в мессенджеры и другие сервисы. Это очень опасный вид атаки, так как он обходит двухфакторную аутентификацию, основанную на SMS.
- Уязвимость в приложении МАХ: Хотя разработчики постоянно работают над безопасностью, новые уязвимости могут быть обнаружены и использованы злоумышленниками до того, как они будут исправлены. Это могло позволить получить доступ к аккаунту Инны без её прямого участия.
- Вредоносное ПО, не детектируемое антивирусом: Как уже упоминалось, некоторые виды вредоносного ПО могут быть специально разработаны для обхода антивирусных программ. Они могли быть установлены на телефон Инны через другое приложение, которое казалось безобидным. Случай Инны наглядно демонстрирует, что даже при отсутствии явных признаков заражения.
Как защитить свой аккаунт в МАХ и других мессенджерах
Установить пароль и 2FA недостаточно, считают донские специалисты. Против кражи информации действительно работает:
-Цифровая гигиена. Нельзя ставить приложения из непроверенных источников. Если приложение «просит» установиться через браузер (файл формата .apk) – перед вами 100-процентная мошенническая поделка.
– Не давайте лишних разрешений приложениям. Доступ к контактам и СМС обычно запрашивают вирусы.
– Обновляйте систему. Необходимо вовремя ставить обновления Android/iOS. Выпуская их, производители латают и дыры в безопасности, которыми и пользуются злоумышленники при разработке вредоносных программ.
– Используйте режим привязки устройства в приложениях, если он есть. Включайте все, что называется «пароль приложения» или «облачный пароль». Последний предусмотрен в некоторых мессенджерах. Без такого пароля мошенник не сможет полноценно воспользоваться аккаунтом даже при краже файлов куки.
– Контролируйте устройство. Регулярно, хотя бы раз в месяц, заходите в настройки безопасности и смотрите список активных сессий. Удаляйте все, кроме текущей. Если увидите незнакомое устройство или город – сразу меняйте пароли.
Конкретно Инне программисты дали аналогичный совет: сменить все пароли (на почте, «Госуслугах» и в соцсетях). Сделать это стоит с другого устройства – телефона или компьютера. Если рассылка повторится или подозрение на присутствие вируса сохраняется, в качестве крайней меры телефон действительно лучше сбросить до заводских настроек.
