Екипът на InForce Cyber засече активна фишинг кампания, насочена към потребители на WhatsApp, включително и на територията на България. Кампанията използва изкуствен интелект и методи за измама, които имитират реален процес на авторизация чрез WhatsApp с цел компрометиране на акаунти и достъп до лична комуникация.
Ние вече оказваме съдействие на засегнати клиенти, подпомагайки ги при:
- възстановяване на достъп до WhatsApp,
- идентифициране и блокиране на неоторизирани устройства,
- информиране на контактите им за избягване на по-нататъшно разпространение.
Как работи атаката?
- Фишинг съобщение с подвеждащ линк
Жертвата получава съобщение в WhatsApp с приканващ текст – например гласуванe за анкета, спечелена награда и др. Целта е да се привлече вниманието чрез емоционален или социален натиск. Съобщението съдържа линк, който води към фалшива страница.
- Пренасочване към страница за „оторизация“
След отваряне на линка, потребителят попада на страница, която симулира процес на верификация. Използвани са изчистен дизайн, познати шрифтове и визуални елементи, наподобяващи WhatsApp, което създава усещане за доверие.
- Въвеждане на код = неволна синхронизация
Потребителят въвежда шестцифрен или буквено-цифрен код, който уж трябва да завърши процеса. В действителност, този код се използва от атакуващите, за да синхронизират WhatsApp акаунта на жертвата със свое устройство.
- Пълен контрол над акаунта и разпространение
След успешното свързване, атакуващите получават достъп до всичко – контакти, чатове, история. Те незабавно започват да изпращат същото фишинг съобщение на контактите на жертвата, превръщайки я в „разпространител на атаката“
Технически анализ на зловредния линк
Фалшивият домейн schooldances.live изглежда безобиден, но е създаден с единствената цел да провежда фишинг атака. Ето какво показва независимият анализ от платформите за сигурност:
Линкът е засечен от няколко доставчици на сигурност като фишинг заплаха.
Kaspersky, CRDF, ESET и други потвърждават, че URL адресът е злонамерен.
Тези инструменти сигнализират, че страницата извлича чувствителна информация и работи като фалшива платформа за верификация.
Цел на атаката: Защо се случва това?
Тази атака не е случайна. Подобни кампании обикновено имат следните цели:
- Кражба на самоличност – използване на профили за измами, особено в чатове с банки, роднини или колеги;
- Изнудване или достъп до чувствителна информация – чатове, файлове, снимки;
- Разпространение към други жертви – използване на реални контакти за още по-убедителни измами;
- Продажба на достъп до акаунти в даркнет среди.
Как да се предпазите?
Ето препоръките ни, ако използвате WhatsApp:
1. Активирайте двуфакторна автентикация (2FA):
Настройки > Акаунт > Двуфакторна проверка.
2. Проверете свързаните устройства:
Настройки > Свързани устройства > Премахнете непознати връзки.
3. Не въвеждайте кодове на външни сайтове.
WhatsApp никога няма да изисква подобна верификация чрез страници извън приложението.
4. Променете паролата си с нова.
Добавете нова парола, която отговаря на всички изсиквания за сигурни акаунти.
5. Докладвайте фишинг съобщения.
Използвайте „Докладвай контакт“ в приложението.
6. Обучавайте екипа и семейството си.
Социалното инженерство действа най-добре при ниска осведоменост.
Как InForce реагира и помага?
Нашият екип вече подпомага клиенти, засегнати от тази кампания. При нужда:
- Извършваме форензик анализ на атаката;
- Предоставяме насоки за възстановяване на достъпа;
- Съдействаме при уведомяване на засегнатите контакти;
- Организираме обучения за фишинг разпознаване;
- Внедряваме решения за предотвратяване на бъдещи инциденти.
Заключение
Тази фишинг кампания е активна и таргетира български потребители.
Измамата е визуално достоверна и лесно може да заблуди дори технически грамотни потребители.
Внимавайте с линкове, особено когато идват по чат, дори от познати хора. Ако не сте сигурни – не кликайте, а потърсете помощ от специалисти.
Ако подозирате, че акаунтът ви е бил компрометиран, или искате да защитите екипа си – свържете се с нас.
InForce – Вашият доверен партньор в киберсигурността.