Симуляция собеседования от "Tricia Guyer": фишеры за минуту обходят двухфакторную аутентификацию Google

Атака начинается с классической приманки: потенциальная жертва получает сообщение о карьерной возможности в таких гигантах, как Coca-Cola, Nike, или в кадровых агентствах Robert Half и Adecco. Ссылка ведёт на профессионально оформленную страницу, стилизованную под популярный сервис планирования Calendly. Пользователю предлагается выбрать время для разговора с рекрутером по имени Tricia Guyer, указать свои имя, электронную почту и сферу интересов, после чего нажать кнопку "Schedule Call". На этом этапе дизайн не вызывает подозрений, что повышает доверие жертвы.

Ключевой и наиболее коварный этап атаки наступает после попытки запланировать звонок. Пользователь перенаправляется на страницу, которая требует "верификации личности" через вход в аккаунт Google. Страница представляет собой пиксель-в-пиксель точную копию оригинальной формы входа Google. Однако главный обманный элемент - это имитация адресной строки браузера, отрисованная непосредственно на веб-странице. В этой поддельной строке отображается адрес "accounts.google.com/signin/v3/", что заставляет пользователя, бегло взглянувшего вверх, поверить в легитимность страницы. Этот метод, известный как "браузер в браузере" (Browser-in-browser, BitB), эффективно эксплуатирует базовую привычку пользователей проверять адресную строку.

Когда жертва вводит свой пароль, запускается механизм атаки "злоумышленник посередине" (AiTM) в реальном времени. Специалисты по безопасности обнаружили, что бэкенд фишинговой платформы мгновенно передаёт учётные данные оператору через Telegram-бота. Оператор или автоматизированный скрипт немедленно вводит эти данные в настоящую форму входа Google. Это инициирует процесс двухфакторной аутентификации на стороне Google. Бэкенд фишинговой платформы определяет тип запрошенного кода - SMS, push-уведомление, код из приложения-аутентификатора - и динамически подменяет содержимое страницы, показывая жертве соответствующий запрос. Пользователь, уверенный, что проходит легитимную процедуру, вводит одноразовый код, который также перехватывается и используется для завершения входа в реальный аккаунт. Жертве же отображается сообщение "Meeting Confirmed!", создавая иллюзию успешно запланированного собеседования.

Инфраструктура злоумышленников оказалась небрежно сконфигурированной, что позволило исследователям детально изучить её внутреннее устройство. Были обнаружены пять доменов, имитирующих карьерные порталы, включая "jobs-nike[.]com" и "adecco-callschedule[.]com". Все они используют один и тот же идентификатор Google Analytics ("G-123NZLZV56"), что позволяет оператору отслеживать поток жертв со всех фишинговых сайтов через единую панель управления. Более того, документация к backend-API, построенная на Swagger/OpenAPI, была оставлена публично доступной по путям "/docs" и "/openapi.json". Эта документация подробно описывает 11 эндпоинтов, включая функции отправки данных в Telegram, управления фишинговыми сессиями и ретрансляции кодов двухфакторной аутентификации, что является редкой возможностью заглянуть в "кухню" современных фишеров.

Важно отметить, что, несмотря на схожесть тематики с известными кампаниями северокорейской группировки Lazarus, использующей тактику "заразительного собеседования", данная операция имеет иную цель. КНДР-аффилированные хакеры обычно нацелены на доставку вредоносного ПО сотрудникам криптовалютной и технологической отраслей. Рассматриваемая же кампания не пытается установить программу-шпион, такую как InvisibleFerret или BeaverTail. Её единственная цель - хищение учётных данных с обходом двухфакторной защиты, что делает её опасной для максимально широкого круга пользователей, чьи аккаунты Google являются ключом к почте, документам, фотографиям и привязанным платежным системам.

Этот инцидент служит суровым напоминанием о том, что даже многофакторная аутентификация не является абсолютной панацеей, особенно против изощрённых атак в реальном времени. Специалистам по безопасности и обычным пользователям необходимо повышать осведомлённость о подобных тактиках. Критически важно всегда проверять настоящую адресную строку браузера, а не доверять элементам, нарисованным на странице, и по возможности использовать более защищённые методы двухфакторной аутентификации, такие как аппаратные ключи безопасности, которые устойчивы к перехвату кодов. В конечном счёте, человеческая бдительность остаётся последним и важнейшим рубежом обороны против социальной инженерии.

IPv4

• 13.227.246.25
• 18.155.202.54
• 18.161.216.70
• 185.53.179.136
• 213.32.110.217
• 99.84.160.117

Domains

• adecco-callschedule.com
• careers-jobupdate.com
• hrguxhellito281.onrender.com
• ipwho.is
• jobs-nike.com
• roberthalf-gethired.com
• roberthalf-globaltalent.com

SHA256

• 499633c29a2603e1be12747cf25e649cb81a77fab4946618185c670b2bbd1f0c