Пользователи Facebook* и Instagram* по всему миру столкнулись с новой угрозой, которая ставит под удар даже тех, кто привык полагаться на двухфакторную аутентификацию. Злоумышленники разработали многоступенчатую схему, которая не просто крадет пароли, но и перехватывает одноразовые коды подтверждения в реальном времени. Эта атака представляет особую опасность для бизнеса, поскольку использует доверие к бренду Meta* и легитимным облачным сервисам.
Описание
Как работает новая схема
Кампания начинается с электронного письма, которое выглядит как официальное уведомление от компании Meta*. Тема сообщения сообщает, что верификация учетной записи якобы одобрена, а отправителем значится "Meta Verified". Письмо содержит призыв перейти по ссылке, которая ведет на Google Форму - легитимный сервис, часто используемый в корпоративной среде.
Специалисты центра реагирования на фишинговые угрозы Cofense рассказали в своем отчете, что атакующие специально выбрали Google Формы для первого этапа атаки. Документ, на который попадает жертва, выглядит как настоящий запрос на верификацию. Он содержит фирменный стиль Meta*, логотипы и даже перечисляет преимущества, которые пользователь получит после подтверждения аккаунта. Такое оформление призвано усыпить бдительность и заставить жертву действовать без промедления.
Цепочка обмана
После заполнения Google Формы пользователь перенаправляется на подставную страницу входа, которая до мельчайших деталей копирует интерфейс Meta*. Адрес страницы может выглядеть правдоподобно, особенно если не вглядываться в доменную строку. На самом деле сайт размещен на платформе vercel.app - легитимном хостинге для веб-разработчиков, который злоумышленники активно используют для создания поддельных страниц. Эта платформа позволяет быстро развернуть сайт с любым дизайном, что делает обнаружение подделки особенно трудным для обычного пользователя.
На подставной странице жертву просят ввести адрес электронной почты и пароль. После нажатия кнопки отправки открывается следующая форма, которая запрашивает одноразовый код из системы двухфакторной аутентификации. Именно этот этап отличает данную кампанию от большинства типичных фишинговых атак.
Почему двухфакторная защита больше не панацея
Долгое время специалисты по безопасности рекомендовали двухфакторную аутентификацию как надежный способ защиты. Смысл в том, что даже если злоумышленник узнает ваш пароль, без второго фактора он не сможет войти в учетную запись. Однако данная кампания показывает, что эта стратегия дает сбой, когда жертва сама передает код подтверждения в руки атакующих.
Когда пользователь вводит одноразовый код на подставной странице, он уходит злоумышленникам в режиме реального времени. У них есть всего несколько секунд, чтобы использовать этот код для входа в настоящий аккаунт жертвы. Как только код применен и сессия создана, злоумышленник немедленно меняет пароль и настройки безопасности, полностью блокируя доступ законному владельцу.
Кто в зоне риска
Эта атака нацелена как на обычных пользователей социальных сетей, так и на владельцев бизнес-аккаунтов. Для компаний, которые используют Facebook* и Instagram* для рекламы и коммуникации с клиентами, потеря доступа к учетной записи может обернуться финансовыми потерями и репутационным ущербом. Злоумышленники могут использовать захваченный аккаунт для рассылки вредоносных ссылок от имени компании или для кражи данных клиентов.
Особую опасность представляет то, что атакующие используют официальные сервисы Google и облачные платформы для размещения своих страниц. Традиционные почтовые фильтры и антивирусные программы не всегда распознают такие письма как вредоносные, поскольку ссылки ведут на легитимные ресурсы. Только внимательность пользователя и знание признаков фишинга могут предотвратить кражу учетной записи.
Как защититься
Главное правило безопасности - никогда не переходить по ссылкам из писем, которые просят ввести учетные данные. Если вы получили сообщение о необходимости верификации аккаунта, откройте браузер, вручную введите адрес Facebook.com* или Instagram.com* и проверьте статус учетной записи в настройках.
Второй важный совет - обращать внимание на адресную строку браузера. Даже если страница выглядит как настоящий сайт Meta*, домен vercel.app или любой другой неофициальный адрес должен сразу вызвать подозрение. Настоящий сайт Meta* всегда использует домены Facebook.com*, Instagram.com* или account.meta.com*.
Третий момент касается использования приложений-аутентификаторов вместо кодов по SMS. В таких приложениях, как Google Authenticator или Microsoft Authenticator, коды генерируются на устройстве пользователя и не передаются по каналам связи, которые могут быть перехвачены. Однако даже это не спасет, если вы сами введете код на подставном сайте.
Эксперты Cofense подчеркивают, что данная кампания демонстрирует эволюцию фишинговых атак. Злоумышленники адаптируются к мерам защиты и находят способы обходить даже двухфакторную аутентификацию. Это значит, что пользователям и компаниям нужно пересмотреть подход к безопасности: полагаться не только на технологии, но и на регулярное обучение сотрудников распознаванию признаков атаки.
* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.
Индикаторы компрометации
URLs
- https://forms.gle/cV8Fbu9eNgHpdY1dA
- https://verifybadge-trustix.vercel.app/privacy-center
