Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Екатерина Быстрова 28 Мая 2026 - 16:16

Домашние пользователи

Корпорации

Google

Системы аутентификации

Passkey (ключ доступа)

Парольная защита (пароли)

Фишинг

...

Passkey не спасли: фишеры нашли способ вытащить весь парольный сейф Google

Исследователи описали новую фишинговую технику VaultJacking, которая бьёт не по паролям и даже не по самим ключам доступа (passkey), а по куда более удобной цели — синхронизации Google Password Manager. Атакующему достаточно выманить у пользователя шестизначный ПИН от менеджера паролей Google, чтобы получить доступ ко всему хранилищу учётных данных.

Схема строится на классической атаке «Злоумышленник посередине» (AiTM). Жертву заводят на поддельную, но убедительную страницу входа Google, где у неё перехватывают логин, пароль, сессионные cookies и тот самый ПИН от Google Password Manager.

После получения ПИН злоумышленники могут добавить своё устройство в доверенную группу устройств, которым разрешён доступ к синхронизированным учётным данным. Затем они получают Security Domain Secret (SDS), который позволяет расшифровать содержимое хранилища уже на атакующей системе.

Главная подлость VaultJacking в том, что атака обходит привычную логику защиты passkey. На уровне отдельных сайтов passkey действительно остаются устойчивыми к фишингу благодаря привязке WebAuthn к домену. Но здесь атакующие не пытаются войти на конкретный сайт. Они вытаскивают ключи ниже уровнем — из инфраструктуры синхронизации.

По данным исследователей Phishu, техника работает даже против аккаунтов, где используются passkey, включая аппаратно защищённые реализации. После перехвата ПИН атакующие могут зарегистрировать собственный passkey в аккаунте жертвы, закрепиться в нём и затем синхронизировать пароли, метаданные и другие сохранённые учётные данные в свою среду.

Результат — не точечный угон одного аккаунта, а потенциальный доступ сразу ко всему: почте, банкингу, корпоративным сервисам, криптовалютным платформам и другим ресурсам, данные от которых лежали в Google Password Manager.

Особенно неприятно, что пользователь может почти ничего не заметить. Максимум — стандартные письма о новом входе или добавлении нового passkey. Пуш-уведомлений или обязательного подтверждения с уже доверенного устройства, по словам исследователей, в этой цепочке нет. А если атакующие успели залезть ещё и в почтовый ящик, такие уведомления можно просто прибрать с глаз долой.

Проблема здесь не в криптографии passkey как таковой. Она в том, как защищён доступ к синхронизированному хранилищу. Google делает ставку на удобство и восстановление доступа через короткий ПИН, но именно это превращает ПИН в лакомую цель для фишинга.

Для сравнения: в экосистеме Apple iCloud Keychain подключение нового устройства требует явного подтверждения с уже доверенного устройства. Такой подход менее удобен, зато сильно усложняет сценарии, где злоумышленник пытается тихо подсосаться к хранилищу с нового окружения.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 17 Июня 2026 - 17:37

Solar Aura Мошенничество Онлайн-мошенничество Домашние пользователи ГК «Солар»

Мошенники заманивают россиян фейковыми ваучерами на 100 литров топлива

Киберпреступники быстро подстраиваются под любую громкую новость. Стоило в информационном поле появиться разговорам о топливных ограничениях и лимитах, как мошенники запустили новую схему с бесплатным бензином.

Об этом сообщили специалисты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар».

По данным экспертов, злоумышленники начали распространять фишинговый сайт, который выдаёт себя за государственную инициативу поддержки граждан. Посетителям обещают от 20 до 100 литров бесплатного топлива и заявляют, что акция действует более чем на 500 АЗС по всей стране.

Выглядит всё достаточно убедительно: официальные формулировки, ссылки на несуществующие государственные программы и обещания быстрой компенсации расходов на бензин.

Для получения топливного ваучера пользователю предлагают заполнить анкету с персональными данными. Среди обязательных полей — ФИО, номер телефона и реквизиты банковской карты.

После этого жертва рискует не только потерять деньги, но и передать мошенникам данные, которые затем могут использоваться для новых атак, оформления кредитов или социальной инженерии.

По словам директора по развитию центра мониторинга внешних цифровых угроз Solar AURA Александра Вураско, подобные предложения не имеют никакого отношения к государственным программам поддержки.

Эксперты напоминают: любые реальные меры поддержки следует проверять только через официальные ресурсы органов власти. Также стоит внимательно смотреть на адрес сайта. Фишинговые страницы часто используют похожие домены с лишними символами, заменой букв или незначительными опечатками.

По данным Solar AURA, число фишинговых сайтов среди клиентов компании по итогам 2025 года выросло в полтора раза. В числе самых популярных приманок остаются поддельные маркетплейсы, инвестиционные платформы, государственные сервисы и банковские ресурсы.

Теперь к этому списку добавились ещё и бесплатные талоны на бензин. Как показывает практика, если в интернете предлагают 100 литров топлива просто за заполнение анкеты, заправиться в итоге может только мошенник — за чужой счёт.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!