Roskachestvo informuje o novej podvodnej schéme, ktorá zahŕňa archívy VKontakte

Odborníci z centra digitálnych expertíz Roskatchestvo zistili phishingový kybernetický útok na účty používateľov VKontakte. Útok je zameraný na krádež hesla používateľa, aby sa následne zmocnil jeho profilu na sociálnej sieti a použil ho na podvody a spam. V spolupráci so sociálnou sieťou VKontakte rozoberieme tento systém a povieme vám, ako sa vyhnúť pasci a bezpečne pokračovať v používaní obľúbenej sociálnej siete.

Sociálna sieť VKontakte umožňuje používateľom nahrať všetky údaje, ktoré zozbierala počas celej doby existencie používateľského účtu. Archív zverejnený spoločnosťou VKontakte obsahuje veľké množstvo informácií vrátane všetkých dialógov používateľov. Uvoľnenie archívov môžu nariadiť len používatelia, ktorí sú prihlásení do svojich účtov, a nie je možné ho vykonať zvonku. Toto je však presne ten druh útoku, ktorý útočník simuluje, aby získal prístup k stránke používateľa, pričom hrá na strach obete, že jej korešpondencia unikne do nesprávnych rúk, ak sa nepodniknú žiadne kroky.

Útok prebieha nasledovne: používateľ, ktorý má účet v službe Vkontakte, dostane e-mailom, push-oznámeniami alebo súkromnou správou túto správu: „archív všetkých vašich konverzácií bude vytvorený do 24 hodín a odoslaný na e-mail XXX“. Zrejme sa používa schránka, ktorá nie je vo vlastníctve používateľa, podľa vzoru artem*****@mail. Potom sa uskutoční klasická podvodná schéma: používateľovi sa ponúkne, aby sa prihlásil do účtu a zrušil vytvorenie a prenos archívu, ako aj zmenu hesla prostredníctvom odkazu. Jediná vec je, že tento odkaz vedúci na inú stránku zakaždým s vk v názve je phishing, hoci je veľmi podobný skutočnému vo forme – dizajn phishingového zdroja sa čo najviac podobá na stránku sociálnej siete.

Napríklad sme si všimli stránku vkarchives.com, ktorý bol v čase písania tohto článku odstránený, a kliknutie na tento odkaz bolo zablokované bezpečnostnými agentmi VKontakte, aby chránili svojich používateľov. Ak používateľ zadá svoje heslo do formulára falošnej stránky, zverí svoje konto do rúk hackerov. Zmena hesla je určite užitočná vec, ale nie na podvodnej stránke a len na pôvodnej stránke sociálnej siete!

Ilja Loevsky, zástupca riaditeľa spoločnosti Roskatchestvo.

„Útočník, ktorý ukradol váš profil na sociálnej sieti, by mohol skutočne nariadiť nahratie archívu, čo je potenciálne nebezpečné. Archív obsahuje nielen verejné informácie o vašom profile, ale napríklad aj dokumenty nahrané používateľom, odkazy na telefónne čísla, históriu platieb a zoznam používaných bankových kariet. Toto všetko môže zneužiť útočník a, samozrejme, môže to používateľa vyjsť draho. Pri používaní sociálnych sietí buďte opatrní pri odhaľovaní pokusov o hackerské útoky.“

Aby ste sa nestali obeťou podvodníkov prostredníctvom tejto schémy, mali by ste dodržiavať tieto pravidlá:

• Neklikajte na odkazy zo správ, najmä na tie, ktoré sú nabité emóciami negatívne „hackli vás“ aj pozitívne „vyhrali ste“ .

• Zadajte adresu sociálnej siete iba manuálne v prehliadači alebo ešte lepšie, použite aplikáciu sociálnej siete. Nikdy nezadávajte svoje heslá a prihlasovacie údaje na webových stránkach tretích strán. Aj keď je stránka podobná

• Vaša obľúbená sociálna sieť, vždy skontrolujte, kde sa nachádzate v adresnom riadku.

• Ak si nie ste istí bezpečnosťou svojho účtu na sociálnej sieti, zmeňte si heslo, prečítajte si oficiálne často kladené otázky a kontaktujte technickú podporu – nerobte nič unáhlené, ak si nie ste istí.

• Používanie dvojfaktorového overovania 2FA .

• Ak ste klikli na tieto odkazy, zmeňte si heslo, aby ste si zabezpečili svoj profil. Ešte lepšie je urobiť to teraz, ako preventívne opatrenie, bez čakania na hackerské útoky, pretože na niektoré z vašich pochybných prechodov sa mohlo zabudnúť. Toto je odporúčanie od agenta podpory VKontakte.

Alexander Shvets, riaditeľ ochrany súkromia používateľov Vkontakte, sa vyjadril k tomuto typu podvodov a metódam boja proti nim: „Útočníci môžu vytvárať phishingové stránky a posielať spamové e-maily, ktoré sú maskované ako populárne zdroje. Samozrejme, nikto sa nenabúra do našich serverov ani nemá prístup do našich databáz. Ľudia sami neúmyselne poskytujú svoje profily podvodníkom, ktorí dôverčivo klikajú na neoverené odkazy. Odoslanie v priemere približne 10 tisíc oznámení o zmene hesla za deň. Okamžite blokujeme prekliky zo stránky VKontakte na škodlivé stránky. Okrem toho vám odporúčame, aby ste nepoužívali škodlivé aplikácie, ktoré požadujú osobné údaje, aby ste získali funkcie, ktoré nie sú dostupné na stránke VKontakte: zobrazovanie skrytých fotografií iných ľudí alebo „hostí na stránke“, neobmedzené darčeky alebo bezplatné hlasy.

VKontakte výslovne uvádza, že nie je možné stiahnuť osobný archív obsahujúci profilové údaje bez potvrdenia zo zariadenia prepojeného s vaším účtom a že jedinečný odkaz na stiahnutie nie je možné otvoriť z iného profilu. Okrem toho môžete zašifrovať samotný archív pomocou osobného kľúča OpenPGP.

Starajte sa o svoje stránky na sociálnych sieťach, pretože sú vašou online tvárou. Jeho strata by mohla byť pre mnohých veľkým problémom!