Современные месенджеры позиционируют себя как очень безопасные средства для общения, защищённые по последнему слову техники привязкой мобильного номера, сложными паролями, многофакторными аутентификациями, криптопротоколами и прочими наворотами. Это создаёт у пользователей ложную уверенность в том, что им в сети ничего не грозит.
Однако на самом деле все эти средства защиты оказываются бесполезны перед классической схемой фишинга, когда вредоносная ссылка ведёт на поддельный ресурс, который визуально копирует оригинальный.
Вы просто можете спешить, быть в уставшем состоянии или по наивности не придать значения тому тексту, что находится в адресной строке веб-браузера, и всё — одной этой ошибки достаточно для доступа к аккаунту посторонним лицом.
Более того, существуют лазейки, которые позволяют полностью украсть скомпрометированный аккаунт путём тихой смены мобильного номера без возможности дальнейшего восстановления личных данных и доступа.
Как это происходит?
Шаг 1. Отправка вредоносной ссылки в сообщении
Шаг 2. Переход на фишинговую страницу из любопытсва или по наивности
Шаг 3. Открытие скомпрометированной сессии
На этом шаге посторонний получает доступ к контактам, перепискам и другой личной информации. Может вылудить что-то ценное или просто стереть всю историю, сделав аккаунт бесполезным и непригодным для дальнейшего восстановления.
Шаг 4. Далее обычно следует тихая смена мобильного номера для получения полного контроля над аккаунтом
Отдельное “спасибо” стоит сказать “оперативности” служб поддержки в таких случаях и гению инженерной мысли, который позволяет менять мобильный номер на новый безо всяких уведомлений на старый. При этом не предусмотрено никого периода (окна плавной смены номера), когда на аккаунт ещё можно зайти со старого, чтобы прервать процесс смены на новый.
Что делать, если сессия скомпрометирована, но доступ к аккаунту пока ещё остался?
Нужно срочно зайти в настройки приложения и завершить подозрительные сессии, после чего сверить мобильный номер с вашим текщим. Терять время на обращения в службу поддержки нет смысла, с ответами там не спешат, если вообще отвечают…
Вот и всё. Будьте внимательны!
ссылка на оригинал статьи https://habr.com/ru/articles/1047378/