Фишинг под WordPress крадёт карты и OTP, отправляя данные в Telegram

Екатерина Быстрова 05 Января 2026 - 12:29

...

Фишинг под WordPress крадёт карты и OTP, отправляя данные в Telegram

Исследователи зафиксировали новую, довольно изощрённую фишинговую кампанию, нацеленную на владельцев сайтов на WordPress. Злоумышленники рассылают письма о якобы скором окончании регистрации домена и в итоге выманивают у жертв не только данные банковских карт, но и одноразовые коды.

Об атаке рассказал специалист по киберугрозам Анураг (Anurag). Письмо выглядит тревожно и приходит с темой вроде «Renewal due soon – Action required».

Расчёт простой: напугать и заставить действовать быстро. Но есть важная деталь, на которую сразу указывает исследователь, — в письме не указан конкретный домен, срок которого якобы истекает. Для настоящих уведомлений о продлении это крайне нетипично и уже само по себе должно насторожить.

Если жертва нажимает кнопку Renew Now, её перенаправляют на фальшивую страницу оплаты, размещённую на домене soyfix[.]com. Визуально она почти неотличима от настоящего чекаута WordPress: значки платёжных систем, пометка «Secure order validation», правдоподобные суммы вроде $13,00 плюс НДС. Всё выглядит настолько аккуратно, что сомнения быстро исчезают.

Но «заказ», разумеется, фиктивный. Страница просто собирает имя владельца карты, номер, срок действия и CVV, тут же отправляя их злоумышленникам. На этом атака не заканчивается. Следующий шаг — поддельное окно 3D Secure Verification, где пользователя просят ввести код из СМС.

Чтобы всё выглядело максимально правдоподобно, скрипт имитирует «работу банка»: семисекундная загрузка, затем ещё несколько секунд «проверки». После этого система сообщает об ошибке. Причём ошибка появляется всегда — специально, чтобы заставить жертву вводить новые OTP-коды снова и снова. Так атакующие получают сразу несколько актуальных кодов подтверждения.

Отдельного внимания заслуживает инфраструктура кампании. Вместо классических серверов управления злоумышленники используют Telegram. Скрипты на стороне сайта (send_payment.php и send_sms.php) пересылают украденные данные напрямую в телеграм-бот или канал. Такой подход дешевле, проще и гораздо сложнее заблокировать, чем традиционные C2-серверы.

Письма рассылались с адреса admin@theyounginevitables[.]com, который маскировался под поддержку WordPress. Анализ заголовков показал слабую политику DMARC (p=NONE), из-за чего подмена отправителя прошла без каких-либо ограничений.

Пользователям WordPress советуют сохранять хладнокровие и проверять подобные уведомления вручную — через официальный дашборд WordPress.com, а не по ссылкам из писем. И простое правило напоследок: если в уведомлении о продлении не указано, какой именно домен нужно продлевать, — почти наверняка это ловушка.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 10 Апреля 2026 - 12:44

iOS Общее Защита персональных данных Защита мобильных устройств Защита мобильных устройств

ФБР восстановило сообщения Signal с iPhone через уведомления iOS

Стало известно, что ФБР смогло извлечь содержимое удалённых сообщений Signal с iPhone, используя данные из внутренней базы уведомлений iOS. Речь идёт о деле, связанном с группой людей, которых обвиняли в поджоге фейерверков и вандализме на территории центра содержания мигрантов ICE Prairieland Detention Facility в Техасе.

Об этом сообщает 404 Media со ссылкой на материалы недавнего судебного разбирательства в США.

В ходе процесса агент ФБР Кларк Уиторн рассказал о собранных доказательствах. Как следует из описания, входящие сообщения Signal удалось восстановить с телефона обвиняемой Линетт Шарп даже после того, как само приложение было удалено с устройства.

Судя по этим данным, сообщения сохранились во внутреннем хранилище уведомлений Apple. При этом речь шла только о входящих сообщениях — исходящие, как утверждается, получить не удалось.

Как отмечает 404 Media, в Signal есть настройка, которая скрывает текст сообщения в уведомлениях. Но, судя по всему, в этом случае такая защита включена не была. Именно поэтому содержимое входящих сообщений могло попасть в системную базу уведомлений и сохраниться там даже после удаления самого мессенджера.

Технических подробностей о том, как именно ФБР добралось до этих данных, пока нет. Многое зависит от состояния устройства на момент извлечения информации: был ли iPhone заблокирован, разблокирован, находился ли он в режиме до первой разблокировки или уже после неё. У iOS в каждом таком сценарии свои ограничения на доступ к данным.

Тем не менее сама история хорошо показывает, что iPhone хранит довольно много локальной информации, полагаясь на внутренние механизмы защиты. Это удобно для пользователя, но в отдельных ситуациях может сыграть и против него — особенно если уведомления содержат личный текст.

Ещё один любопытный момент связан с пуш-уведомлениями. Как подчёркивается в публикации, токен для их доставки не обязательно сразу перестаёт работать после удаления приложения. То есть сервер может продолжать отправлять уведомления, а уже сам iPhone решает, как с ними поступать. Это теоретически тоже могло повлиять на сохранение данных.

На этом фоне особенно интересно выглядит недавнее изменение в iOS 26.4, где Apple обновила механизм проверки пуш-токенов. Прямой связи с этим делом никто не подтверждал, но совпадение по времени выглядит примечательно.

Напомним, недавно ФБР столкнулось с неожиданным препятствием при расследовании утечки конфиденциальных данных: Lockdown Mode на iPhone журналистки Washington Post фактически заблокировал доступ к содержимому устройства.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!