Через короткие видео преступники распространяют ссылки на сайты, предлагающие взлом игровых аккаунтов для получения дополнительных функций бесплатно. Пользователям предлагают скопировать код и ввести его на фишинговом сайте, после чего киберпреступники перехватывают сессию и получают доступ к аккаунту без ввода пароля и двухфакторной аутентификации.

Руководитель группы защиты инфраструктурных ИТ-решений компании "Газинформсервис" Сергей Полунин объяснил, что в традиционном фишинге у жертвы пытаются узнать логин, пароль или одноразовые коды из SMS, чтобы потом воспользоваться аккаунтом. Кража сессии работает иначе: после того как человек ввел все свои данные на сайте и попал в личный кабинет, браузер создает специальный сеансовый ключ, который нужен, чтобы не спрашивать логин и пароль каждый раз при входе с того же устройства.

Если этот сеансовый ключ украсть, можно заходить на сайт от имени пользователя, не зная его учетных данных. Сессии крадут с помощью вредоносного кода, запущенного на устройстве пользователя, например через расширение браузера или уязвимость, которую долго игнорируют.

Вредонос может оставаться в системе незамеченным довольно долго, так как явно не замедляет работу и не всегда определяется антивирусом. Самый распространенный тип атаки — "человек посередине", когда злоумышленник создает точную копию сайта банка или почтового сервиса и перехватывает трафик между пользователем и настоящим сервером.

Пользователь вводит данные и проходит двухфакторную аутентификацию, думая, что работает с легитимным ресурсом, а хакер в этот момент забирает готовый токен. Для подделки страниц даже используются технологии вроде Browser-in-the-Browser, когда внутри обычного браузера открывается идеально подделанное окно входа со своим адресом и замком безопасности.

Чаще всего причиной взлома становится излишняя доверчивость и желание сэкономить минуту времени. Большой всплеск таких атак фиксируется во время массовых онлайн-распродаж, когда мошенники предлагают установить браузерные расширения для автоматического поиска скидок или кэшбэка.

Пользователь сам дает разрешение шпионскому модулю, который затем крадет все активные сессии. То же самое касается переходов по ссылкам от незнакомцев в мессенджерах и скачивания файлов из ненадежных источников.

Старший преподаватель института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец отметил, что типичная ошибка — игнорирование всплывающих окон браузера с предупреждением о том, что расширение запрашивает доступ к чтению данных на всех сайтах. Стандартных методов подтверждения по SMS или кодам из приложений-аутентификаторов сегодня уже недостаточно для защиты критически важных аккаунтов.

SMS-коды могут быть перехвачены с помощью вредоносного ПО или через уязвимости протокола сотовой связи. Коды TOTP, обновляющиеся каждые 30 секунд, действительны в течение времени, достаточного для автоматизированной атаки.

При фишинге человек вводит код на поддельном сайте, и мошенники тут же подставляют его на настоящем, чтобы украсть токен. Котилевец подчеркнул, что настоящей устойчивой к фишингу защитой считаются только аппаратные токены или встроенные криптографические ключи.

В отличие от цифр из SMS, этот метод физически привязан к домену сайта. Даже если человек зайдет на идеально подделанную страницу, система аутентификации просто не сработает, так как увидит неправильный адрес в браузере.

Закрытый ключ никогда не покидает устройство, поэтому перехватить его удаленно невозможно, как и украсть отпечаток пальца по телефонному звонку. Чаще всего пользователи "попадаются" на уловки мошенников из-за невнимательности при входе в аккаунт.

Эксперт по социотехническому тестированию Angara Security Яков Филевский заключил, что один из лучших способов заставить человека что-то сделать быстро — это встревожить его. В стрессе люди становятся менее наблюдательными и не замечают странные приписки в адресе сайта или доверяют необычным просьбам и уведомлениям, которые выдают себя за официальные.