Мошенники подделывают аккаунты знакомых и близких в мессенджерах

Екатерина Быстрова 08 Июня 2023 - 15:12

...

Мошенники подделывают аккаунты знакомых и близких в мессенджерах

Специалисты ВТБ выявили интересную активность мошенников в мессенджерах: злоумышленники подделывают аккаунты знакомых и близких потенциальных жертв и пытаются таким образом обмануть их. Ранее похожие схемы широко использовались в социальных сетях для кражи денег.

Сценарий атаки стал знакомым для многих: в мессенджере появляется сообщение от аккаунта с фотографией и личными данными знакомых людей. Злоумышленники отправляют сообщения нескольким контактам и просят их одолжить деньги. Данные контактов мошенники собирают из открытых профилей в социальных сетях.

«Подобные атаки используются уже несколько лет. Раньше мошенники взламывали аккаунты в социальных сетях, рассказывали о непростых ситуациях и умоляли о финансовой поддержке. Сегодня же они перешли на новый канал — мессенджеры. По нашим данным, с конца прошлого года активность мошенников в этом канале выросла на 12%», - отметил Никита Чугунов, старший вице-президент ВТБ и руководитель департамента цифрового бизнеса.

«Некоторые группы мошенников стали действовать ещё хитрее и готовы выдавать себя за людей, чью цифровую личность они успешно подделывают. Клиенты жалуются, что злоумышленники, используя их фотографии и имена, обращаются в мессенджерах к их друзьям или коллегам с просьбой о помощи в различных сложных ситуациях».

ВТБ напоминает пользователям о необходимости соблюдать основные правила безопасности, особенно при общении с незнакомыми людьми, и всегда проверять информацию.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Татьяна Никитина 04 Февраля 2026 - 21:18

Уязвимости программ Домашние пользователи Корпорации

Расширения Chrome могут слить секреты URL через атаку по стороннему каналу

Как оказалось, расширения Chrome можно использовать для слива кодов авторизации, сеансовых ID и других секретов из URL любой открытой вкладки. Никаких специальных разрешений для этого не понадобится, только доступ к declarativeNetRequest API.

Этот механизм, пришедший на смену webRequest API, позволяет расширениям сообщать браузеру, что следует изменить или заблокировать на загружаемой странице (заголовки, реклама, трекеры).

Правила обработки запросов при этом добавляются динамически, а фильтрация осуществляется по регулярным выражениям, соответствующим подмножествам знаков, которые могут присутствовать на определенных позициях в URL.

Исследователь Луан Эррера (Luan Herrera) обнаружил, что блокировку, диктуемую правилами, Chrome производит почти мгновенно, за 10-30 мс, а остальные запросы выполняются дольше (~50-100ms) — из-за сетевых подключений. Эту разницу во времени расширение может использовать для бинарного поиска с целью посимвольного слива URL.

// extensions/browser/api/web_request/extension_web_request_event_router.cc:1117-1127
case DNRRequestAction::Type::BLOCK:
  ClearPendingCallbacks(browser_context, *request);
  DCHECK_EQ(1u, actions.size());
  OnDNRActionMatched(browser_context, *request, action);
  return net::ERR_BLOCKED_BY_CLIENT;

Оракул для подобной тайминг-атаки строится с использованием chrome.tabs.reload для перезагрузки страницы и перехватчика chrome.tabs.onUpdated, помогающего отследить событие status === "complete". Замер времени между reload и завершением загрузки покажет, заблокирован запрос или успешно обработан.

Повторение проверок и бинарного поиска позволяет получить полный URL (с довеском после «?»), затратив на каждый знак строки несколько прогонов. Таким образом, можно незаметно для пользователя украсть включенные приложением в адрес секреты — токены OAuth и сброса пароля, API-ключи, ссылки на контент, закрытый для поисковых систем.

Проверка PoC проводилась на Windows 11 24H2 с использованием Chrome разных версий: