Хакеры Teampoison взломали официальный сайт НАТО в Хорватии

Николай Головко 03 Апреля 2012 - 15:33

...

Информационный ресурс, о котором идет речь, является подразделением сайта местного министерства иностранных и европейских дел, но, тем не менее, считается официальным Интернет-представительством НАТО в Хорватии. Два участника хакерской группировки Teampoison преодолели его защиту и подвергли несанкционированным изменениям интерфейс сайта.

На главной странице взломанного ресурса было размещено сообщение, адресованное странам Североатлантического договора. В нем хакеры обвинили НАТО в противоправном вмешательстве во внутренние дела арабских государств, заявив, что под знаменем демократии альянс совершает убийства ни в чем не повинных людей ради выгоды транснациональных корпораций, в то время как подконтрольные западным странам средства массовой информации распространяют потоки пропагандистских сообщений, призванных оправдать геноцид. "Мы слишком долго поддерживали террористические акты НАТО против государств, которые не поддерживают ее интересы; мы все соучаствовали убийствам невинных. Пора остановиться!", - так заканчивается послание хакеров.

Поскольку в прежние времена участников Teampoison обвиняли в том, что они вторгаются на старые и давно не функционирующие узлы (как это было в случае со взломом одного из серверов ООН), на сей раз хакеры озаботились добычей доказательств: они унесли с собой протоколы компьютера, свидетельствующие о его активном использовании вплоть до последних дней. По данным журналистов Softpedia, взломанную страницу посетило более 200 тыс. человек, причем на момент публикации их сведений (07:21 GMT) сайт все еще отображал плоды трудов Teampoison. Сейчас ресурс работает в обычном режиме и вновь рассказывает о плодотворном сотрудничестве Хорватии и стран договора.

Сами участники группировки считают, что искажение интерфейсов взломанных сайтов, помимо нанесения репутационного ущерба, представляет собой и форму повышения осведомленности пользователей Интернета по тем или иным вопросам - так, разместив свое сообщение на натовском сайте, они довели его содержание до нескольких сотен тысяч людей, а, следовательно, труды их не пропали даром.

Письмо автору

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »