Эксперты Роскачества зафиксировали фишинговую кибератаку на аккаунты пользователей соцсети «ВКонтакте». Атака нацелена на похищение пароля пользователя с целью дальнейшего взлома профиля в соцсети и использования его для мошенничества и рассылки спама.
Атака происходит следующим образом: пользователю приходит (на почту, через пуш или личным сообщением) сообщение «Архив на все ваши переписки будет создан через 24 часа и отправлен на почту XXX». В качестве почты указывается не принадлежащий пользователю ящик по типу artem*****@mail.ru. Далее классическая фишинговая схема: пользователю предлагают войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке.
Но ссылка эта (ведущая каждый раз на разные сайты, имеющие «vk» в названии) — фишинговая, хотя форма выглядит настоящей — дизайн сайта максимально похож на сайт соцсети. Если пользователь введет свой пароль в форме фейкового сайта, он отдаст свой аккаунт прямо в руки хакеру.
КАК НЕ СТАТЬ ЖЕРТВОЙ МОШЕННИКОВ: СОВЕТЫ ЭКСПЕРТОВ
- Не переходите по ссылкам из сообщений, особенно играющим на эмоциях (как негативных «вас взломали», так и позитивных «вы выиграли»).
- Вбивайте адрес соцсети только вручную в браузере, а лучше пользуйтесь приложением соцсети. Никогда не вводите свои пароли и логины на посторонних сайтах. Даже если сайт похож на соцсеть, всегда проверяйте в адресной строке, где вы находитесь.
- В случае возникновения неясной ситуации с безопасностью аккаунта в соцсети, меняйте пароль, читайте официальный FAQ и обращайтесь в техподдержку — не совершайте преждевременных действий, в которых не уверены.
- Пользуйтесь двухфакторной аутентификацией.
- Если переходили по ссылкам, то смените пароль, чтобы обезопасить профиль.
Соцсеть «ВКонтакте» отдельно подчеркивает, что скачать персональный архив с данными профиля без подтверждения с привязанного к аккаунту устройства нельзя, а уникальную ссылку для скачивания невозможно открыть из другого профиля. Вдобавок можно зашифровать сам архив с помощью персонального ключа OpenPGP.