Урядова команда реагування на комп’ютерні надзвичайні події України CERT-UA інформує щодо зростання кількості кібератак, спрямованих на отримання доступу до облікових записів популярних месенджерів, в тому числі, із застосуванням технік обходу двофакторної автентифікації.
Так, засобами SMS та месенджерів Telegram/WhatsApp розповсюджуються повідомлення з тематикою голосувань, що містять посилання на, нібито, конкурсні матеріали мистецької діяльності (образотворче, сценічне тощо). Отримувачу такого повідомлення пропонується відвідати вебресурс зі згаданими матеріалами, «авторизуватися» та підтримати конкурсанта. У випадку сканування QR-коду і/або введення номеру телефону та одноразового коду, до облікового запису жертви буде додано сторонній пристрій, після чого акаунт слід вважати скомпрометованим.
У подальшому, скомпрометований акаунт використовується для розповсюдження повідомлень з посиланнями серед контактів жертви, в тому числі, шляхом використання існуючих чи створення нових груп. Насамкінець, викрадені облікові записи застосовуються для монетизації за різними шахрайськими схемами.
Для захисту від подібної зловмисної активності рекомендуємо не переходити за будь-якими посиланнями та не вводити жодних даних, в тому числі, якщо подібні заклики лунають від знайомих вам осіб. Отримавши подібне повідомлення доцільно припустити, що обліковий запис відправника скомпрометовано та невідкладно повідомити його про це засобами телефонного зв’язку.
У випадку виявлення факту компрометації – терміново перевірити налаштування на предмет підключених до месенджеру пристроїв та завершити невідомі сесії. Якщо ж період несанкціонованого доступу до акаунту триватиме більше 24 годин – зловмисник матиме технічну можливість завершити вашу сесію. У цій ситуації ви зможете повторно автентифікуватися, але цю сесію також зможуть завершити через добу. Отже, одним з варіантів повернення облікового запису є його видалення, разом з усіма повідоменнями та даними, після цього – повторна реєстрація в месенджері.
Активність відстежується за ідентифікатором UAC-0195.
З метою мінімізації вірогідності реалізації кіберзагрози CERT-UA спільно з CSIRT-NBU вживаються заходи щодо виявлення та блокування мережевої інфраструктури зловмисників.
Принагідно нагадуємо про важливість налаштування багатофакторної автентифікації
