Фишинговая атака на разработчиков Chrome-расширений: поддельные уведомления о нарушении авторских прав

phishing

Если вы публикуете расширения для браузера Chrome, вы рискуете столкнуться с новой мошеннической схемой. Злоумышленники создали поддельную страницу, которая имитирует официальное уведомление от Google о нарушении авторских прав. Внешне всё выглядит убедительно: используется корпоративная символика, указывается номер жалобы и даже обратный отсчёт времени. Но на самом деле это фишинговая атака, нацеленная на кражу учётных данных разработчиков.

Описание

Атака начинается с того, что разработчик получает ссылку на сайт, не имеющий никакого отношения к Google. Например, в одном из исследованных случаев адрес выглядел как "dmca-chrome-extensions[.]click". Страница полностью стилизована под "Центр политики для разработчиков Chrome Web Store". Первое, что видит посетитель, - предупреждение о том, что его расширение якобы будет удалено из магазина за нарушение авторских прав. Для подачи апелляции отводится всего 48 часов. Это создаёт сильное давление - хочется немедленно разобраться, не теряя времени.

Чтобы усилить иллюзию подлинности, сайт просит ввести идентификатор расширения. Как только пользователь это делает, страница "находит" расширение и отображает его реальное название и иконку. Специалисты Malwarebytes [обнаружили] эту кампанию и протестировали её на своём расширении Browser Guard. Выяснилось, что мошенники просто загружают общедоступную информацию из карточки расширения в Chrome Web Store. Любой может увидеть эти данные - в этом нет ничего секретного. Но на фоне поддельного уведомления они создают полное впечатление, что обращение пришло от Google.

Далее страница показывает фиктивный номер жалобы, дату получения и пошаговый таймлайн. Счётчик обратного отсчёта тикает в реальном времени, подстёгивая к действию. Всё это - элементы психологического давления. Разработчик торопится, не проверяет источник и нажимает единственную крупную кнопку: "Войти через Google для верификации". Именно здесь и начинается настоящая опасность.

После нажатия появляется окно входа в Google. В нём есть строка заголовка, значок замка и адрес "accounts.google.com". Оно выглядит точь-в-точь как настоящий диалог браузера. Однако это лишь графическая подделка, встроенная прямо в веб-страницу. Мошенники даже адаптируют её под операционную систему: на macOS окно стилизовано под Mac, на Windows - под классический интерфейс Windows. Всё, что вводится в это окно, отправляется напрямую злоумышленникам.

Распознать подделку можно по нескольким признакам. Такое окно нельзя перетащить за пределы браузера - оно упирается в границу страницы. Если свернуть браузер, окно исчезает вместе с ним. А главное - настоящая адресная строка браузера по-прежнему показывает адрес мошеннического сайта, а не "accounts.google.com". Но в спешке мало кто обращает на это внимание.

Зачем злоумышленникам учётные записи разработчиков? Расширения Chrome имеют доступ к браузеру пользователей и могут обновляться автоматически. Если атакующие получают контроль над аккаунтом разработчика, они способны изменить код расширения, получить доступ к другим ресурсам в консоли разработчика и, что самое опасное, распространить вредоносное обновление на тысячи или миллионы пользователей. Такие инциденты уже происходили в прошлом, и они приводят к массовым утечкам данных и компрометации систем.

Поэтому разработчикам стоит запомнить главное правило: любые предупреждения о проблемах с расширением отображаются только в панели управления разработчика Chrome Web Store. Никакие сторонние сайты не будут присылать ссылки с требованием срочно войти в аккаунт. Если вы получили подобное сообщение, не переходите по ссылке. Вместо этого откройте новую вкладку, вручную зайдите на "chrome.google.com/webstore/devconsole" и проверьте уведомления там.

Также стоит настороженно относиться к любой срочности. Легитимные процедуры не используют обратный отсчёт, чтобы заставить вас действовать немедленно. Если уведомление требует войти в систему по ссылке из письма или со стороннего сайта - это почти наверняка фишинг. Ещё один полезный приём: попробуйте перетащить окно входа за пределы браузера. Если оно не двигается, значит, это часть страницы, а не настоящее диалоговое окно.

Если вы уже ввели свои данные на подозрительной странице, нужно действовать быстро. Смените пароль от Google на доверенном устройстве. Выйдите из всех активных сеансов в настройках безопасности аккаунта. Проверьте список подключённых приложений и устройств - удалите всё незнакомое. Обязательно включите двухфакторную аутентификацию, лучше всего с использованием ключа безопасности или passkey. Наконец, просмотрите список опубликованных версий расширения - нет ли там изменений, которые вы не делали.

Эта атака не похожа на грубые фишинговые страницы прошлого. Она использует реальные данные вашего расширения, копирует стиль Google и играет на чувстве срочности. Но именно такие простые привычки - не переходить по ссылкам из непроверенных источников, не доверять обратному отсчёту и проверять подлинность окон входа - помогают оставаться в безопасности. Если сомневаетесь - просто закройте вкладку.

Индикаторы компрометации

Domains

  • dmca-chrome-extensions.click
Комментарии: 0