Центр цифровой экспертизы Роскачества зафиксировал фишинговую кибератаку на аккаунты пользователей социальной сети "ВКонтакте" (12+). По данным организации, атака нацелена на похищение пароля пользователя с целью дальнейшего взлома профиля и использования его для мошенничества и рассылки спама, сообщает ИА IrkutskMedia со ссылкой на пресс-службу Роскачества.
"ВКонтакте" позволяет пользователям выгружать все данные, которые были собраны сетью на протяжении существования аккаунта пользователя. В архиве, который выдает соцсеть, содержится большой объем информации, включая все диалоги пользователя. Заказать выдачу архива может только сам пользователь, залогиненный в свой аккаунт, и сделать это извне нельзя. Тем не менее, именно такую атаку имитирует злоумышленник для получения доступа к странице пользователя, играя на страхе жертвы, что ее переписки утекут в чужие руки, если не предпринять меры.
Как сообщает газета "Известия" (18+), признаком такой атаки является получение пользователем соцсети сообщения, в котором говорится, что "архив на все ваши переписки будет создан через 24 часа и отправлен на почту". В качестве почты указывается не принадлежащий пользователю почтовый адрес. Затем предлагается войти в аккаунт, чтобы отменить создание и передачу архива, а также сменить пароль по ссылке.
Эксперты отмечают, что ссылка, ведущая каждый раз на разные сайты, имеющие vk в названии, является фишинговой, хотя по дизайну похожа на настоящую. Если пользователь введет свой пароль в форме фейкового сайта, он отдаст свой аккаунт прямо в руки хакеру.
Для того, чтобы не стать жертвой мошенников по данной схеме, необходимо соблюдать следующие правила:
- Не переходите по ссылкам из сообщений, особенно играющих на эмоциях (как негативных “вас взломали”, так и позитивных “вы выиграли”).
- Вбивайте адрес соцсети только вручную в браузере, а лучше — пользуйтесь приложением соцсети. Никогда не вводите свои пароли и логины на посторонних сайтах. Даже если сайт похож на вашу любимую социальную сеть, всегда проверяйте в адресной строке, где вы находитесь.
- В случае возникновения неясной ситуации с безопасностью аккаунта в соцсети, меняйте пароль, читайте официальный FAQ и обращайтесь в техническую поддержку — не совершайте необдуманных действий, в правильности которых вы не уверены.
- Пользуйтесь двухфакторной аутентификацией (2ФА).
- Если вы переходили по подобным ссылкам, то смените пароль, чтобы обезопасить профиль. А лучше — сделайте это прямо сейчас в качестве превентивной меры, не дожидаясь взломов, потому что о каких-то случаях о ваших сомнительных переходах вы могли и забыть. Это рекомендация от Агента поддержки "ВКонтакте".
Специалисты "ВКонтакте" отдельно подчеркивают, что скачать персональный архив с данными профиля без подтверждения с привязанного к аккаунту устройства нельзя, а уникальную ссылку для скачивания невозможно открыть из другого профиля. Вдобавок можно зашифровать сам архив с помощью персонального ключа OpenPGP.
