Наш веб-сайт использует файлы cookie, чтобы предоставить вам возможность просматривать релевантную информацию. Прежде чем продолжить использование нашего веб-сайта, вы соглашаетесь и принимаете нашу политику использования файлов cookie и конфиденциальность.
Мошенники используют фишинговые ссылки, которые работают только на мобильных телефонах. В CERT-UA заявляют, что данный взлом аккаунтов украинцев не связан с атакой 15 февраля.
Злоумышленники массово рассылают в социальных сетях сообщения, при помощи которых взламывают и крадут данные украинцев, являющихся пользователями Facebook. Подробности раскрыла правительственная команда реагирования на компьютерные чрезвычайные происшествия Украины (CERT-UA).
В ходе исследования специалисты выяснили, что сообщения содержат ссылку, при открытии которой в мобильном браузере загружается HTML-страница, содержащая JavaScript-код. При его выполнении браузер переходит по URL-адресу с доменом 87yc[.]xyz, а уже там загружает и выполняет дополнительный JavaScript-код, имитирующий страницу авторизации Facebook и отправляющий введенные пользовательские данные злоумышленникам.
В случае, если ширина экрана превышает 800 пикселей, ссылка отправляет на главную страницу сайта YouTube. Как предполагает CERT-UA, таким образом система отфильтровывает не мобильные устройства.
Эксперты также вышли на доменное имя rwi2v[.]eu, которое создано 4 февраля 2022 и связано с email-адресом theone2716@gmail[.]com, с которым, в свою очередь, связаны еще 7 подобных доменных имен, созданных в ноябре-декабре 2021 года. Их использует неустановленная группа лиц, называющая себя «TeamLucernaRD», с ноября 2021 года. Цель злоумышленников — похищение аутентификационных данных пользователей Facebook.
«Отношение данной активности к атаке на информационные ресурсы 15.02.2022 не подтверждено», — подчеркнули в CERT-UA. — «Призываем не переходить по подозрительным ссылкам и использовать мультифакторную аутентификацию».
ІТ-архитектор Андрей Перцюх в своем Facebook рассказал, что мошенники отправляют пользователям Facebook личные сообщения со ссылкой и вопросом «Это ты на видео?». Он предположил, что это рекогносцировка (разведка о расположении и силах вражеских войск) для определения реальных IP-адресов пользователей. Подозрительную активность по ссылкам подтвердили сервисы VirusTotal и Any.Run. Эксперт посоветовал не открывать ссылки и сделать резервные копии данных.
Напомним, 15 февраля украинские сайты подверглись мощной DDOS-атаке. Под удар попали веб-ресурсы «ПриватБанка», «Ощадбанка», Минобороны, МВД и ВСУ.
Нацполиция уже начала расследование кибератаки на упомянутые сайты после обращения одного из банков. Уголовное производство открыто по статьям о несанкционированном вмешательстве в работу автоматизированных систем и массового распространения сообщений, которые привели к нарушению работы таких систем.
