ІНФОРМАЦІЙНА ДОВІДКАщодо типових методів компрометації акаунтів у соціальнихмережахтамесенджерах
У межах системної протидії сучасним викликам інформаційної безпекивумовах збройної агресії Російської Федерації проти України, зафіксованозростання активності ворожих спецслужб у напрямку кібершпіонажутанесанкціонованого доступу до цифрових ресурсів українськихгромадян,насамперед – військовослужбовців, працівників державних установтаіншихкатегорій, що мають доступ до критично важливої інформації.
Протидіючі структури супротивника посилено застосовують вдосконаленіметоди соціальної інженерії з метою компрометації персональнихтаслужбових облікових записів у популярних комунікаційнихсервісахісоціальних мережах. Основна увага зосереджується на спробахвпливучерезперсональні пристрої користувачів, що обробляють або зберігаютьслужбовуінформацію, зокрема в секторі безпеки та оборони.
Актуальним залишається використання механізмів SMS- та месенджер-фішингу. Для доставки шкідливих повідомлень зловмисникидедалі частішевикористовують скомпрометовані акаунти осіб із контактногоколажертви,що дозволяє зменшити пильність і підвищити ефективність атаки.
Особливу увагу фахівці фіксують до спроб втручання в роботумесенджера“Signal”, що вважається одним з найбезпечніших завдякинаскрізномушифруванню та мінімальному збору метаданих. Ворог використовуєфункцію “зв’язаних пристроїв”, імітуючи запити від службитехнічноїпідтримки, зокрема шляхом генерації підроблених QR-кодів. Скануваннятаких кодів активує несанкціоноване підключення до обліковогозаписучерез пристрої атакуючого.
1. Експлуатація функції “Пов’язані пристрої” в Signal Суть методу - зловмисники імітують офіційні повідомленняслужбипідтримки Signal, пропонуючи «підтвердити безпеку акаунту»шляхомсканування QR-коду.
Механізм атаки:
Користувачу надходить повідомлення з QR-кодом.
У разі сканування коду, зловмисник створює нову сесіюмесенджеранасвоєму пристрої.
Повний контроль над акаунтом: перегляд листування, спискуконтактів,можливість надсилання повідомлень від імені жертви.
Часто доступ до облікового запису втрачається остаточночерезвстановлення нової двофакторної аутентифікації.
2. Псевдотехнічна підтримка месенджерів
Суть методу - видавання себе за співробітників службипідтримкимесенджера (Signal, Telegram, WhatsApp), з метою «підтвердженнябезпеки»або «профілактичного оновлення».
Механізм атаки:
Повідомлення з інструкціями або посиланням.
Перехід за посиланням або сканування коду ініціює запусксесіїзловмисника.
Акаунт захоплюється, а користувача блокується.
Також встановлено створення шкідливих ресурсів, які візуальноімітуютьавтентичні інтерфейси месенджерів або посилання на офіційні петиції,запрошення до груп, сповіщення про “виплати” чи “випадкове”відкриттярахунків. У таких випадках спостерігається цілеспрямованаспробаотримання облікових даних, доступу до внутрішньої перепискиабовстановлення віддаленого контролю над пристроями жертви.
1. Підроблені групи з компрометованими контактами
Суть методу - користувача додають до групи в месенджері, вякійперебувають знайомі особи (реальні або підставні), що створюєдовірудовмісту групи.
Механізм атаки:
Група створюється від імені скомпрометованого контакту жертви.
Після періоду «завоювання довіри» розсилається фішинговепосиланняабо заражений файл.
Зловмисники просять відкрити файл саме на ПК– для використаннявразливостей Windows та завантаження ШПЗ.
2. Повідомлення про фейкові банківські операції
Суть методу - користувачу надсилається повідомлення про“відкриттябанківського рахунку на його ім’я” або іншу підозрілу фінансовуактивність.
Механізм атаки:
Повідомлення містить посилання нібито на сайт банкудля“відмінипомилки”.
При переході — фішинговий сайт, авторизація на якому надаєдоступдоакаунтів користувача.
Слід зазначити, що несанкціонований доступ через десктопнуверсіюмесенджерів, яка є більш вразливою порівняно з мобільною, залишаєтьсяодним із найбільш поширених сценаріїв зламу обліковихзаписів.Використання десктопних застосунків створює додаткові ризики, особливоувипадках, коли пристрій працює на операційній системі Windows. Цясистемає пріоритетною ціллю для більшості розробників шкідливогопрограмногозабезпечення (надалі – ШПЗ), зважаючи на її широку розповсюдженістьтанаявність вразливостей, що активно експлуатуються під час кібератак.
Використання десктопної версії месенджерів
Суть методу - зловмисники орієнтуються на менший рівеньбезпекидесктопних застосунків порівняно з мобільними, особливо всередовищіWindows.
Механізм атаки:
Через фішингове повідомлення або вкладення активується шкідливеПЗ.
ПЗ отримує права на запуск віддаленого коду та повний контрольнадПК.
Дані акаунтів, листування, файли і навіть паролі можуть бутивикрадені.
Окрему загрозу становить активізація розсилки повідомлень із пропозиціямидистанційної зайнятості, зокрема під виглядом працевлаштуванняувідоміміжнародні компанії. Такі повідомлення націлені на збір особистихданихтаперехоплення контролю над обліковими записами в Telegramтаіншихплатформах. Типовим є сценарій, за яким після “реєстрації” зловмисникиотримують одноразовий код для входу в обліковий запис таактивуютьдвофакторну автентифікацію, повністю блокуючи доступ власника.
Масові фішингові кампанії під виглядом роботи
Суть методу - пропозиції дистанційної роботи від імені нібитовідомихкомпаній (TikTok, Amazon, Netflix тощо).
Механізм атаки:
Запрошення на “роботу” з простою оплатою за лайки/коментарі.
Для реєстрації потрібно надіслати номер телефону та код з Telegram.
Зловмисники отримують доступ до акаунту Telegram, встановлюютьновудвофакторну аутентифікацію.
Також фіксуються маніпуляції на емоційно чутливі теми–проханняпідтримати петиції щодо відзначення військових, повідомлення прозагибельзнайомих тощо. У вкладеннях часто міститься шкідливепрограмнезабезпечення (ШПЗ), яке після активації здійснює масове розповсюдженняінфекційного контенту через контакти постраждалого.
1. Петиції, запрошення до акцій
Суть методу - використання теми підтримки ЗСУ, петиційщодонагородження військових, обміну полоненими тощо.
Механізм атаки:
Посилання веде на фейковий сайт, який імітує офіційний ресурс.
Авторизація або підпис петиції вимагає ввести особисті дані абологін-пароль від соцмереж.
Результат — повна компрометація облікового запису.
2. “Фото померлого” — соціальна інженерія через емоції
Суть методу - надсилання повідомлень про нібито смерть знайомогозвкладенням (арк-файлом) із “фото”.
Механізм атаки:
Користувач завантажує і відкриває архів.
Вміст містить шкідливе програмне забезпечення.
Акаунт заражається, здійснюється автоматична розсилкавірусуконтактам.
З метою мінімізації ризиків та підвищення рівня захисту рекомендуємонаступне:
1. Посилити внутрішній контроль за дотриманням політик інформаційноїбезпеки при використанні персональних пристроїв у службовихцілях.
2. Мінімізувати використання десктопних версій месенджерів на пристрояхізопераційною системою Windows, яка залишається основноюмішеннюдлябільшості зразків ШПЗ.
3. Забезпечити оновлення засобів кіберзахисту, паролів до обліковихзаписівіз дотриманням принципу їх унікальності.
4. Регулярно здійснювати перевірку активних сесій у месенджерахтазакривати невідомі або підозрілі.
5. Інформувати персонал про актуальні кіберзагрози, типові ознакифішингута способи протидії. Пам’ятайте, забезпечення цифрової безпеки —ключовий елементстабільноїроботи державних структур, особливо в умовах гібридної війни.
