Мошенники взломали официальное сообщество «Яндекс Go» в соцсети «ВКонтакте» и разослали подписчикам фишинговые ссылки с предложением выиграть приз. Хотя компания смогла восстановить контроль уже через две минуты, часть пользователей потеряли деньги. Причиной взлома стала слабая защищенность аккаунта администратора, что большая редкость для крупных корпоративных пабликов, а дальше сыграло доверие людей крупному бренду, считают эксперты. Компания извинилась перед пострадавшими, но о компенсациях речи не идет.
Фото: Дмитрий Духанин, Коммерсантъ
Фото: Дмитрий Духанин, Коммерсантъ
Официальное сообщество «Яндекс Go» во «ВКонтакте» 20 декабря разослало подписчикам предложение принять участие в фейковом розыгрыше призов с текстом «раздадим электронную технику, аксессуары и главный приз — деньги». Подписчики получили сообщения с фишинговыми ссылками на внешний сайт, где предлагалось ввести банковские реквизиты, чтобы забрать выигрыш $3 тыс.
Со счетов поверивших мошенникам списывались деньги, и теперь некоторые пользователи требуют у «Яндекса» вернуть потерянные средства.
В «Яндексе» и «ВКонтакте» “Ъ” подтвердили, что паблик был взломан.
«Яндекс Go», приложение на базе «Яндекс.Такси», включает сервисы для доставки еды и продуктов. В его сообществе во «ВКонтакте» 360 тыс. человек. Всего по ссылке перешли 332 человека, им «оперативно отправили сообщение, о том, что это фишинг, а также рекомендации о смене пароля», уточнили во «ВКонтакте». «Фейковые сообщения были удалены через две минуты после рассылки»,— добавили в «Яндексе».
Во «ВКонтакте» пояснили, что аккаунт одного из администраторов паблика был взломан подбором пароля или через фишинг, так как он не привязал к своему профилю номер телефона для проверки входа: «Взломанный аккаунт добавил в группу злоумышленника, который запустил рассылку фишингового сообщения». В соцсети заверили, что сразу же заблокировали страницу мошенников и подчеркнули: всем админам сообществ следует включить двухфакторную аутентификацию и изучить правила безопасности. Получат ли пострадавшие пользователи компенсацию, в компаниях уточнить отказались.
Чаще взламывают маленькие паблики, так как владельцы крупных сообществ знают, чем рискуют, и уделяют вопросам защиты больше внимания, поэтому случай с «Яндекс Go» выглядит удивительно, считает начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд.
Он допускает, что страницу взломали через аккаунт одного из управляющих сообществом. «Им управляют рекламодатель, администратор, редактор, модератор, и у каждой роли есть соответствующие ей права доступа. Недавно “ВКонтакте” ввели возможность наделения любой роли правом на размещение рекламных записей, поэтому взломать могли любого, кто обладал этим правом, либо редактора, который может размещать в сообществе любые записи»,— предполагает господин Дрозд.
После взлома сработало доверие людей — схема неновая, подобным образом взламывали, например, Twitter, отметил Алексей Дрозд. В 2020 году хакеры взломали 130 аккаунтов этой сети, принадлежащих известным людям, и от их имени размещали объявления с просьбой перевести деньги на биткойн-кошелек и обещанием вернуть сумму в двойном размере. Таким образом мошенники собрали с подписчиков около $100 тыс.
Помимо «Яндекс Go», согласно открытой информации, взлому также подверглись сообщества Tez Tour, «Смольный» и TJ, говорит заместитель гендиректора Infosecurity Игорь Сергиенко.
По имеющимся данным, администраторам популярных сообществ рассылались сообщения якобы от службы поддержки VK, добавляет он. Сама по себе ситуация, когда людям предлагают принять участие в фейковой акции со взломанного аккаунта, неудивительна — мошенники любыми способами монетизируют взлом, отмечает эксперт. В пресс-службе «ВКонтакте» заявили, что эти взломы — набор не связанных друг с другом случаев, когда причиной утери доступа к аккаунту становится человеческий фактор.