WhatsApp, Telegram, Slack создали новые риски для бизнеса

Татьяна Никитина 12 Декабря 2023 - 14:33

Малый и средний бизнес

...

По данным SafeGuard Cyber, в 42% компаний использование мобильного WhatsApp для общения с клиентами повлекло новые киберинциденты. Из найденных индикаторов угроз 66% содержались в сообщениях, ассоциируемых с облачными инструментами совместной работы.

Статистика, включенная в отчет SafeGuard о рисках бизнес-коммуникаций в 2023 году, основана на результатах анализа данных, собранных по клиентской базе ИБ-компании. Ее специализированная платформа обрабатывает сотни млн сообщений на 50+ языках в 72 странах, помогая выявлять угрозы безопасности и нормативно-правовые несоответствия.

Исследование показало рост популярности WhatsApp у сотрудников компаний, однако в сочетании с политикой BYOD это создает дополнительные риски. Потенциально опасными были признаны 42% сообщений в рамках бизнес-обмена в этом мессенджере — против 24% в Telegram, 17% в Slack и 17% в Microsoft Teams.

В бизнес-структурах WhatsApp обычно используется для коммуникаций с клиентами, и каждый такой уполномоченный в среднем отправляет 200 мобильных сообщений в сутки. Адресаты тратят на их просмотр в среднем 15 минут, более 30% посланий начинают читать менее чем через пять минут после получения.

Популярные мессенджеры также зачастую используют злоумышленники, полагающиеся на социальную инженерию. Так, 42% сообщений, вызвавших срабатывание защиты SafeGuard, сопровождались предупреждением о подмене пользователя. В 25% случаев флаг был выставлен из-за аттача, в котором могла содержаться конфиденциальная информация.

Примечательно, что 24% потенциально опасных сообщений WhatsApp, зафиксированных экспертами, не были англоязычными.

«В бизнес-коммуникациях очевиден отход от традиционного имейл, — комментирует гендиректор SafeGuard Cyber Крис Леман (Chris Lehman). — Работники теперь используют популярные мессенджеры вроде WhatsApp и Telegram не только в личной жизни, но и в интересах бизнеса. Это повышает производительность труда, однако наши данные показывают, что такое применение приложений создает новые точки входа для злоумышленников».

В результате на смену BEC (Business E-mail Compromise, атаки посредством компрометации бизнес-почты), пришла новая угроза — BCC (Business Communication Compromise, атаки через компрометацию бизнес-коммуникаций). У многих организаций нет эффективной защиты от этой напасти, так как слабое звено — человеческий фактор — осталось прежним.

Решить новую проблему, по мнению экспертов, помогут повышение видимости всех коммуникационных каналов в организации, а также контекстный анализ. Контекст и намерения злоумышленников, использующих социальную инженерию, хорошо выявляют инструменты машинного обучения и ИИ.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 23 Декабря 2025 - 18:14

Шпионские программы Программы слежения Домашние пользователи Персональный VPN Анонимайзеры

Фейковые VPN-аддоны для Chrome оказались инструментом тотального шпионажа

Исследователи по кибербезопасности обнаружили две вредоносные версии расширения Google Chrome Phantom Shuttle, которые маскируются под сервис для тестирования скорости сети, а на деле перехватывают интернет-трафик и крадут пользовательские данные.

О находке рассказали специалисты компании Socket. Оба расширения имеют одинаковое название и опубликованы одним разработчиком, но отличаются ID и датой выхода.

Первое появилось ещё в 2017 году и насчитывает около 2 тысяч установок, второе — в 2023 году и используется примерно 180 пользователями. Оба до сих пор доступны в магазине Chrome.

Phantom Shuttle рекламируется как «мультилокационный плагин для тестирования скорости сети», ориентированный на разработчиков и специалистов по внешней торговле. Пользователям предлагают оформить подписку стоимостью от 9,9 до 95,9 юаня (примерно 110-1064 рублей), якобы для доступа к VPN-функциям.

На практике же, как объясняет исследователь Socket Куш Пандья, за платной подпиской скрывается полноценный инструмент слежки:

«Расширения перехватывают весь трафик, работают как прокси с функцией “Человек посередине“ (MitM) и постоянно отправляют данные пользователей на управляющий сервер злоумышленников».

После оплаты пользователю автоматически включается режим VIP и так называемый smarty-proxy. В этом режиме трафик с более чем 170 популярных доменов перенаправляется через серверы атакующих.

В списке целевых ресурсов — GitHub, Stack Overflow, Docker, AWS, Azure, DigitalOcean, Cisco, IBM, VMware, а также Facebook, Instagram (обе соцсети принадлежат Meta, признанной экстремистской и запрещенной в России), X (Twitter) и даже сайты для взрослых. Последние, по мнению исследователей, могли быть добавлены с расчётом на возможный шантаж жертв.

При этом расширение действительно выполняет заявленные функции — показывает задержки, статус соединения и создаёт иллюзию легального сервиса.

Внутри расширения исследователи нашли модифицированные JavaScript-библиотеки, которые автоматически подставляют жёстко прописанные логин и пароль прокси при любом запросе HTTP-аутентификации. Всё происходит незаметно для пользователя — браузер даже не показывает окно ввода данных.

Далее аддон:

настраивает прокси через PAC-скрипт;
получает позицию MitM;
перехватывает логины, пароли, cookies, данные форм, API-ключи, токены и номера карт;
каждые пять минут отправляет на сервер злоумышленников адрес электронной почты и пароль пользователя в открытом виде.

В Socket считают, что схема выстроена профессионально: подписочная модель удерживает жертв и приносит доход, а внешний вид сервиса создаёт ощущение легитимности.

Эксперты рекомендуют немедленно удалить Phantom Shuttle, если оно установлено. Для компаний и ИБ-команд вывод ещё шире: браузерные расширения становятся отдельным и часто неконтролируемым источником риска.

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »