Мошенники крадут аккаунты под видом Zoom-конференций

Специалисты компании F6 выявили новую схему компрометации аккаунтов бизнес-пользователей в сервисах Google и Telegram. Мошенники выходят на связь с представителями малого и среднего бизнеса, представляясь заинтересованными клиентами. Под предлогом обсуждения деталей сотрудничества они направляют фишинговые ссылки, замаскированные под приглашения на конференцию в Zoom. Об этом IT Speaker сообщили в пресс-службе. 

Атака начинается с сообщения в Telegram от лица потенциального заказчика. Злоумышленник проявляет интерес к услугам компании и настойчиво предлагает обсудить условия на видеовстрече в Zoom, ссылаясь на наличие у себя корпоративной учетной записи с расширенными возможностями. Как только жертва соглашается, ей направляется ссылка, визуально отличающаяся от стандартных приглашений платформы.

После перехода по ссылке пользователь сталкивается с серией проверок капч, которые, вероятно, используются для обхода систем безопасности. Затем его перенаправляют на фиктивную страницу входа в Google-аккаунт, где предлагают ввести учетные данные. На следующем этапе мошенники запрашивают код подтверждения, поступающий в Telegram, что позволяет им получить полный контроль и над аккаунтом мессенджера. Для усиления давления злоумышленники параллельно ведут переписку или совершают звонки с просьбами ускорить процесс.

Получив доступ к учетной записи Google, преступники в первую очередь пытаются найти привязанные криптокошельки и аккаунты на биржах, но также анализируют всю доступную информацию – от корпоративных документов до данных банковских сервисов.

«Мы видим новую комбинированную фишинговую схему, нацеленную на пользователей в бизнес-среде. Сценарий повторяет классические тактики мошенников – переписка в мессенджере, а затем фишинговая ссылка, а минимальное обновление легенды – переход к атакам под видом потенциальных клиентов с поддельной ссылкой на Zoom – делает схему эффективной. При этом явно ненастоящая ссылка на Zoom, необходимость вводить логин и пароль, даже если они были сохранены в браузере, подозрительная капча, код Telegram – все это должно заставить жертву задуматься», – отмечает старший аналитик департамента Digital Risk Protection компании F6 Мария Синицына.

Ранее управление по борьбе с противоправными действиями в сфере информационно-коммуникационных технологий МВД РФ сообщило, что злоумышленники продолжают атаковать малый и средний бизнес и используют легитимные приложения, такие как Zoom, Word и ChatGPT, для маскировки вредоносного ПО.