В России зафиксировали новый сценарий угона аккаунтов, при котором мошенникам уже не обязательно знать пароль пользователя или перехватывать SMS-код. По данным компании F6, злоумышленники используют фишинговые сайты и вредоносный код для кражи активной сессии браузера — готового «пропуска» в личный кабинет. Схема часто начинается с коротких видео и ссылок на сайты, где обещают бесплатные функции, например взлом игровых аккаунтов или дополнительные возможности в сервисах. Пользователю предлагают скопировать код и ввести его на поддельной странице, после чего преступники получают доступ к аккаунту.
Эксперты объясняют, что сеансовый ключ создаётся браузером после успешной авторизации, чтобы сайт не требовал логин и пароль при каждом действии. Если такой ключ украсть, злоумышленник сможет войти в аккаунт без пароля и без повторной двухфакторной проверки. Вредоносный код может попасть на устройство через подозрительное расширение, фишинговую страницу, файл из ненадёжного источника или уязвимость в браузере. Один из опасных вариантов — атака «человек посередине», когда пользователь вводит данные на точной копии сайта, а мошенник в это время перехватывает готовый токен доступа.
Особенно часто такие схемы активизируются во время распродаж, когда пользователям предлагают установить расширения для поиска скидок, купонов или кэшбэка. В результате человек сам даёт вредоносному модулю доступ к данным на сайтах. Специалисты предупреждают, что SMS-коды и приложения-аутентификаторы уже не всегда спасают: код можно ввести на фишинговой странице, а злоумышленники тут же используют его на настоящем сервисе для получения сессии.
Более устойчивой защитой эксперты называют аппаратные ключи и passkey-решения, привязанные к конкретному домену. Даже если пользователь попадёт на идеально скопированную страницу, такая авторизация не сработает из-за неправильного адреса сайта. При этом главная защита по-прежнему начинается с внимательности: не стоит переходить по подозрительным ссылкам, устанавливать неизвестные расширения, игнорировать запросы браузера на доступ к данным и подтверждать вход, который пользователь сам не инициировал.