Задать вопрос

Мошенники по новой схеме крадут данные пользователей «ВКонтакте»

15.01.2021

Ваши личные финансы
Редакция "Ваши личные финансы"

Эксперты Роскачества зафиксировали фишинговую кибератаку на аккаунты пользователей соцсети «ВКонтакте». Атака нацелена на похищение пароля пользователя с целью дальнейшего взлома профиля в соцсети и использования его для мошенничества и рассылки спама.

Атака происходит следующим образом: пользователю приходит (на почту, через пуш или личным сообщением) сообщение «Архив на все ваши переписки будет создан через 24 часа и отправлен на почту XXX». В качестве почты указывается не принадлежащий пользователю ящик по типу artem*****@mail.ru. Далее классическая фишинговая схема: пользователю предлагают войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке.

Но ссылка эта (ведущая каждый раз на разные сайты, имеющие «vk» в названии) — фишинговая, хотя форма выглядит настоящей — дизайн сайта максимально похож на сайт соцсети. Если пользователь введет свой пароль в форме фейкового сайта, он отдаст свой аккаунт прямо в руки хакеру. 


КАК НЕ СТАТЬ ЖЕРТВОЙ МОШЕННИКОВ: СОВЕТЫ ЭКСПЕРТОВ

  1. Не переходите по ссылкам из сообщений, особенно играющим на эмоциях (как негативных «вас взломали», так и позитивных «вы выиграли»).
  2. Вбивайте адрес соцсети только вручную в браузере, а лучше пользуйтесь приложением соцсети. Никогда не вводите свои пароли и логины на посторонних сайтах. Даже если сайт похож на соцсеть, всегда проверяйте в адресной строке, где вы находитесь.
  3. В случае возникновения неясной ситуации с безопасностью аккаунта в соцсети, меняйте пароль, читайте официальный FAQ и обращайтесь в техподдержку — не совершайте преждевременных действий, в которых не уверены.
  4. Пользуйтесь двухфакторной аутентификацией.
  5. Если переходили по ссылкам, то смените пароль, чтобы обезопасить профиль. 

Соцсеть «ВКонтакте» отдельно подчеркивает, что скачать персональный архив с данными профиля без подтверждения с привязанного к аккаунту устройства нельзя, а уникальную ссылку для скачивания невозможно открыть из другого профиля. Вдобавок можно зашифровать сам архив с помощью персонального ключа OpenPGP.