Сайты научились следить за пользователями через задержки в работе SSD

Сайты научились следить за пользователями через задержки в работе SSD

Сайты научились следить за пользователями через задержки в работе SSD

У сайтов появился новый способ шпионить за пользователями. Исследователи описали атаку под кодовым названием FROST, которая позволяет веб-страницам отслеживать активность человека через едва заметные задержки в работе SSD.

Полное название техники — Fingerprinting Remotely Using OPFS-based SSD Timing.

Работает она так: сайт загружает в браузере специальный JavaScript, работает с файловым хранилищем OPFS и внимательно смотрит, как меняется время операций чтения с накопителя.

По этим микрозадержкам можно понять, какие сайты открыты у пользователя в других вкладках и даже какие приложения запущены на устройстве.

И да, пользователю для этого почти ничего не нужно делать. Достаточно просто открыть сайт, на котором размещён атакующий код. Никаких кликов, разрешений и подозрительных загрузок, всё происходит тихо и незаметно.

 

В основе FROST лежит принцип атаки по сторонним каналам. Разные процессы обращаются к одному и тому же SSD, создают нагрузку, а атакующий сайт измеряет задержки при собственных операциях ввода-вывода.

Затем эти данные прогоняются через заранее обученную свёрточную нейросеть, которая пытается распознать активность пользователя по характерным следам.

Особенно неприятно здесь, что атака работает прямо из браузера. Предыдущие атаки такого типа на SSD обычно требовали более низкоуровневого доступа, а FROST обходится возможностями современных веб-платформ. Браузеры давно перестали быть просто окошками для сайтов: сегодня в них крутятся офисные пакеты, редакторы фото и видео, IDE и другие тяжёлые веб-приложения.

Для работы FROST используется OPFS — Origin Private File System, изолированное файловое хранилище, которое сайт может создать для своих задач. Формально оно находится в песочнице и отделено от других сайтов и системы. Но этого оказалось достаточно, чтобы измерять задержки операций чтения и строить по ним отпечаток активности.

Правда, у техники есть серьёзные ограничения. Атакующему сайту нужен очень большой OPFS-файл, скорее всего, размером от гигабайта и выше. Массовая эксплуатация такого трюка быстро стала бы заметной: пользователи могли бы увидеть странный расход дискового пространства. Кроме того, файл должен находиться на том же SSD, активность которого пытаются анализировать. Для вкладок браузера это обычно не проблема, а вот приложения на другом накопителе FROST уже не увидит.

Исследователи полноценно проверили атаку на macOS-устройстве с чипом M2. На Linux они показали, что базовый механизм измерения задержек SSD из JavaScript тоже работает, но полный сценарий атаки не запускали. Windows в исследовании не тестировали.

Фейковые заказчики атакуют производство в России целевым фишингом

«Лаборатория Касперского» обнаружила многоступенчатую фишинговую кампанию против производственных предприятий. Под удар попали организации в разных странах, включая Россию, Чехию, Малайзию и Египет. Кампания стартовала в апреле 2026 года и, по данным компании, всё ещё продолжается.

Схема построена не на грубом «срочно оплатите счёт», а на более аккуратной легенде.

Злоумышленники пишут на английском языке якобы от лица потенциального заказчика: интересуются продукцией, спрашивают стоимость, наличие или другие детали.

Если сотрудник отвечает, атака переходит на следующий уровень. Ему присылают ссылку, где якобы лежит файл с техническими требованиями к продукту. Иногда ссылку отправляют сразу, иногда — после небольшой переписки и уточняющих вопросов, чтобы всё выглядело убедительнее.

После перехода пользователь попадает на фишинговую страницу, которая маскируется под популярный облачный сервис для работы с PDF-документами. Дальше классика: жертве предлагают нажать «скачать», а затем появляется форма аутентификации.

Нужно ввести корпоративную почту и пароль якобы для защиты файла от несанкционированного доступа. На самом деле никакой защиты там нет, только аккуратный сбор учётных данных.

В «Лаборатории Касперского» отмечают, что целевой фишинг становится сложнее. Атакующие всё чаще используют многоэтапные сценарии, заранее изучают компании и подстраивают легенды под особенности отрасли. В случае с производством ставка делается на привычную рабочую коммуникацию: запросы от заказчиков, спецификации, файлы с требованиями и деловую переписку.

Эксперты предупреждают: такие атаки опасны именно своей нормальностью. Письмо выглядит как обычный рабочий запрос, ссылка — как файл от клиента, форма входа — как стандартная проверка. Поэтому компаниям стоит не только ставить защитные решения, но и регулярно объяснять сотрудникам простое правило: если «заказчик» просит ввести корпоративный пароль на странной странице, это уже не заказчик, а охота за доступом.

RSS: Новости на портале Anti-Malware.ru