Опубликовано

Подделка Zoom и социальная инженерия: новая схема взлома

3 мин. чтения
Елена Новикова
Подделка Zoom и социальная инженерия: новая схема взлома

Ключевые выводы

  • 1 Атака начинается с обращения от знакомого контакта и приглашения в поддельный Zoom.
  • 2 Мошенники подменяют домен и поддомен Zoom и предлагают установить фальшивый клиент с абсолютно скопированным интерфейсом.
  • 3 Жертве предлагают вставить код в командную строку: этот код даёт злоумышленникам удалённый доступ и сканирует компьютер на кошельки.
  • 4 Код крадёт сессионные cookies, что позволяет обходить двухфакторную аутентификацию и входить в аккаунты без пароля.
  • 5 Стандартные меры безопасности у пострадавших не сработали — требуется дополнительная осторожность при взаимодействии по ссылкам и при вводе команд.

Кристиан Чепчар описал схему, где мошенники подменяют домены Zoom и предлагают фальшивый клиент, который крадёт кошельки и сессионные cookies, обходя двухфакторную защиту.

Кристиан Чепчар, директор по маркетингу Braiins и эксперт по майнингу, сообщил о новой целевой схеме взлома, направленной на участников криптосообщества. За последний месяц более 10 его знакомых потеряли доступ к аккаунтам и средствам, несмотря на включённую двухфакторную аутентификацию. По словам Чепчара, стандартные меры безопасности оказались недостаточны против сочетания социальной инженерии и подделки клиента видеоконференций.

Как работает новая схема взлома

Атака опирается на доверие между знакомыми: злоумышленники сначала получают контроль над аккаунтом реального человека и используют его, чтобы связаться с целью. При этом жертве высылают приглашение на звонок, которое визуально почти не отличается от подлинного.

  • Атака начинается с обращения от знакомого контакта, после чего предлагается созвониться и обсудить рабочие или инвестиционные вопросы.
  • Мошенники подменяют домен и поддомен Zoom, создавая ссылку, которую при беглом просмотре сложно отличить от оригинала.
  • При переходе по такой ссылке пользователю предлагается установить фальшивое приложение Zoom; интерфейс полностью копирует официальный клиент и не вызывает подозрений.
  • Дальше злоумышленники инициируют показ инструкции с кодом для командной строки, который фактически даёт им контроль над компьютером и доступ к кошелькам.

Этапы атаки

Последовательность атак достаточно отлажена и рассчитана на быстрое подчинение внимания жертвы через доверие и визуальную правдоподобность. Злоумышленники используют привычные рабочие сценарии, чтобы не вызвать подозрений у опытных пользователей.

  • Обман через доверие в профессиональном сообществе: сообщение и приглашение приходят якобы от знакомого человека.
  • Поддельное приглашение на встречу в Zoom с ссылкой на домен, который визуально похож на оригинал.
  • Имитация технической проблемы и инструкция вставить команду в командную строку — это даёт злоумышленнику удалённый доступ.
  • После получения доступа вредоносное ПО сканирует систему на наличие криптокошельков и крадёт сессионные cookies для обхода двухфакторной аутентификации.

Риски и уязвимости

Схема эффективна даже против пользователей, которые соблюдают базовые правила безопасности: именно это отмечено в сообщении эксперта, где пострадавшие использовали стандартные меры защиты. Подмена домена и поддомена делает фишинговую ссылку трудной для быстрой проверки, особенно если приглашение пришло от знакомого.

  • Эффективность против опытных пользователей объясняется тем, что интерфейс поддельного клиента полностью копирует официальный Zoom и даже показывает запись знакомого человека.
  • Двухфакторная аутентификация в этой схеме частично теряет смысл, поскольку злоумышленники похищают сессионные cookies и получают доступ без ввода пароля и подтверждений.
  • Вредоносный код выполняется быстро и почти незаметно, что уменьшает шанс своевременного реагирования жертвы.

Меры защиты

Есть несколько практических шагов, которые помогают снизить риск попадания в такую атаку; они касаются как проверки ссылок, так и поведения при предложениях обновить софт или вставить команды. Важно сочетать технические меры с осторожностью при общении через приглашения и ссылки.

  • Проверяйте домен в ссылке на приглашение в Zoom — разница в домене или поддомене может указывать на подделку.
  • При сомнениях связаться с отправителем напрямую, не через ссылку в сообщении, чтобы подтвердить необходимость созвона.
  • Не копируйте и не вставляйте команды в командную строку по указанию из внешних сообщений — это основной приём злоумышленников в этом сценарии.
  • Отключите автоматический запуск приложений и следите за обновлениями антивирусного ПО и системных средств защиты.
  • Дополнительно изучите материалы по социальной инженерии, чтобы лучше распознавать подобные приёмы.

Почему это важно

Для майнера любая потеря доступа к аккаунтам или кошелькам означает прямой финансовый ущерб, поэтому даже одиночный инцидент критичен. Сообщение Чепчара показывает, что атаки обходят привычные барьеры безопасности, включая двухфакторную аутентификацию, когда используются сессионные токены.

Малые и средние майнеры особенно уязвимы, потому что в них часто нет выделенной ИТ-поддержки и процессы проверки безопасности могут быть менее формализованы. При этом атака не требует глубоких технических навыков со стороны жертвы — достаточно доверительного контакта и правильно подделанной ссылки.

Что делать?

Ниже краткие и конкретные шаги для майнера с 1–1000 устройствами, которые можно выполнить сразу. Эти меры основаны на описанных в отчёте приёмах злоумышленников и не требуют сложных изменений в инфраструктуре.

  • Перед переходом по ссылке в приглашении внимательно проверьте URL и поддомен; при малейшем сомнении прекратите действие и позвоните отправителю по знакомому номеру.
  • Никогда не вставляйте команды в командную строку по указанию из письма или чата — если требуется диагностика, запросите удалённый доступ через проверенные средства или помощь ИТ‑специалиста.
  • Отключите автоматический запуск скачанных приложений и запрещайте установку программ без проверки; регулярно обновляйте антивирус и систему.
  • Разграничьте рабочие аккаунты и доступ к кошелькам, минимизируйте число устройств с прямым доступом к ключам; при необходимости ознакомьтесь, как защитить криптокошелёк на Windows.

Часто задаваемые вопросы

Почему двухфакторная аутентификация не спасла пострадавших?

В этой схеме злоумышленники похищают сессионные cookies и токены, что позволяет входить в аккаунты без ввода пароля и подтверждений, поэтому обычный 2FA иногда не срабатывает.

Как отличить поддельную ссылку на Zoom?

Обратите внимание на домен и поддомен в URL: визуально ссылка может выглядеть правильно, но отличаться в части домена. При сомнении свяжитесь с отправителем напрямую.

Что делать, если я уже вставил код в командную строку?

Прекратите дальнейшие действия, отключите устройство от сети, смените пароли и ключи на другом чистом устройстве, а при необходимости обратитесь к специалисту по инцидентам.

Похожие статьи

Защита криптовалют: Securnex для раннего выявления рисков

Защита криптовалют: Securnex для раннего выявления рисков

Securnex предлагает анализ безопасности кошельков в режиме только чтения: выявляет взаимодействия с дрейнерами, подозрительные разрешения и связь с скомпрометированными адресами до потери средств.

2 мин.
Подробнее