У межах системної протидії сучасним викликам інформаційної безпеки в умовах збройної агресії Російської Федерації проти України, зафіксовано зростання активності ворожих спецслужб у напрямку кібершпіонажу та несанкціонованого доступу до цифрових ресурсів українських громадян, насамперед – військовослужбовців, працівників державних установ та інших категорій, що мають доступ до критично важливої інформації.

Протидіючі структури супротивника посилено застосовують вдосконалені методи соціальної інженерії з метою компрометації персональних та службових облікових записів у популярних комунікаційних сервісах і соціальних мережах. Основна увага зосереджується на спробах впливу через персональні пристрої користувачів, що обробляють або зберігають службову інформацію, зокрема в секторі безпеки та оборони.

Актуальним залишається використання механізмів SMS- та месенджер- фішингу. Для доставки шкідливих повідомлень зловмисники дедалі частіше використовують скомпрометовані акаунти осіб із контактного кола жертви, що дозволяє зменшити пильність і підвищити ефективність атаки.

Особливу увагу фахівці фіксують до спроб втручання в роботу месенджера “Signal”, що вважається одним з найбезпечніших завдяки наскрізному шифруванню та мінімальному збору метаданих. Ворог використовує функцію “зв’язаних пристроїв”, імітуючи запити від служби технічної підтримки, зокрема шляхом генерації підроблених QR-кодів. Сканування таких кодів активує несанкціоноване підключення до облікового запису через пристрої атакуючого.

1.    Експлуатація функції “Пов’язані пристрої” в Signal

Суть методу - зловмисники імітують офіційні повідомлення служби підтримки Signal, пропонуючи «підтвердити безпеку акаунту» шляхом сканування QR-коду.

Механізм атаки

    Користувачу надходить повідомлення з QR-кодом.

 

    У разі сканування коду, зловмисник створює нову сесію месенджера на своєму пристрої.

    Повний контроль над акаунтом: перегляд листування, списку контактів, можливість надсилання повідомлень від імені жертви.

    Часто    доступ    до    облікового    запису    втрачається    остаточно    через встановлення нової двофакторної аутентифікації.

2.    Псевдотехнічна підтримка месенджерів

Суть методу - видавання себе за співробітників служби підтримки месенджера (Signal, Telegram, WhatsApp), з метою «підтвердження безпеки» або «профілактичного оновлення».

Механізм атаки

    Повідомлення з інструкціями або посиланням.

    Перехід    за    посиланням    або    сканування    коду    ініціює    запуск    сесії зловмисника.

    Акаунт захоплюється, а користувача блокується.

Також встановлено створення шкідливих ресурсів, які візуально імітують автентичні інтерфейси месенджерів або посилання на офіційні петиції, запрошення до груп, сповіщення про “виплати” чи “випадкове” відкриття рахунків. У таких випадках спостерігається цілеспрямована спроба отримання облікових даних, доступу до внутрішньої переписки або встановлення віддаленого контролю над пристроями жертви.

1.    Підроблені групи з компрометованими контактами

Суть методу - користувача додають до групи в месенджері, в якій перебувають знайомі особи (реальні або підставні), що створює довіру до вмісту групи.

Механізм атаки

    Група створюється від імені скомпрометованого контакту жертви.

    Після періоду «завоювання довіри» розсилається фішингове посилання або заражений файл.

    Зловмисники просять відкрити файл саме на ПК – для використання вразливостей Windows та завантаження ШПЗ.

2.    Повідомлення про фейкові банківські операції

 

Суть методу - користувачу надсилається повідомлення про “відкриття банківського рахунку на його ім’я” або іншу підозрілу фінансову активність.

Механізм атаки

    Повідомлення містить посилання нібито на сайт банку для “відміни помилки”.

    При переході — фішинговий сайт, авторизація на якому надає доступ до акаунтів користувача.

Слід зазначити, що несанкціонований доступ через десктопну версію месенджерів, яка є більш вразливою порівняно з мобільною, залишається одним із найбільш поширених сценаріїв зламу облікових записів. Використання десктопних застосунків створює додаткові ризики, особливо у випадках, коли пристрій працює на операційній системі Windows. Ця система є пріоритетною ціллю для більшості розробників шкідливого програмного забезпечення (надалі – ШПЗ), зважаючи на її широку розповсюдженість та наявність вразливостей, що активно експлуатуються під час кібератак.

Використання десктопної версії месенджерів

Суть методу - зловмисники орієнтуються на менший рівень безпеки десктопних застосунків порівняно з мобільними, особливо в середовищі Windows.

Механізм атаки

    Через фішингове повідомлення або вкладення активується шкідливе ПЗ.

    ПЗ отримує права на запуск віддаленого коду та повний контроль над ПК.

    Дані акаунтів, листування, файли і навіть паролі можуть бути викрадені.

Окрему загрозу становить активізація розсилки повідомлень із пропозиціями дистанційної зайнятості, зокрема під виглядом працевлаштування у відомі міжнародні компанії. Такі повідомлення націлені на збір особистих даних та перехоплення контролю над обліковими записами в Telegram та інших платформах. Типовим є сценарій, за яким після “реєстрації” зловмисники отримують одноразовий код для входу в обліковий запис та активують двофакторну автентифікацію, повністю блокуючи доступ власника.

Масові фішингові кампанії під виглядом роботи

Суть методу - пропозиції дистанційної роботи від імені нібито відомих компаній (TikTok, Amazon, Netflix тощо).

Механізм атаки

 

    Запрошення на “роботу” з простою оплатою за лайки/коментарі.

    Для реєстрації потрібно надіслати номер телефону та код з Telegram.

    Зловмисники отримують доступ до акаунту Telegram, встановлюють нову двофакторну аутентифікацію.

Також фіксуються маніпуляції на емоційно чутливі теми – прохання підтримати петиції щодо відзначення військових, повідомлення про загибель знайомих тощо. У вкладеннях часто міститься шкідливе програмне забезпечення (ШПЗ), яке після активації здійснює масове розповсюдження інфекційного контенту через контакти постраждалого.

1.    Петиції, запрошення до акцій

Суть методу - використання теми підтримки ЗСУ, петицій щодо нагородження військових, обміну полоненими тощо.

Механізм атаки

    Посилання веде на фейковий сайт, який імітує офіційний ресурс.

    Авторизація або підпис петиції вимагає ввести особисті дані або логін- пароль від соцмереж.

    Результат — повна компрометація облікового запису.

2.    “Фото померлого” — соціальна інженерія через емоції

Суть методу - надсилання повідомлень про нібито смерть знайомого з вкладенням (арк-файлом) із “фото”.

Механізм атаки

    Користувач завантажує і відкриває архів.

    Вміст містить шкідливе програмне забезпечення.

    Акаунт заражається, здійснюється автоматична розсилка вірусу контактам.

З метою мінімізації ризиків та підвищення рівня захисту рекомендуємо наступне:

1.    Посилити внутрішній контроль за дотриманням політик інформаційної безпеки при використанні персональних пристроїв у службових цілях.

2.    Мінімізувати використання десктопних версій месенджерів на пристроях із операційною системою Windows, яка залишається основною мішенню для більшості зразків ШПЗ.

 

3.    Забезпечити оновлення засобів кіберзахисту, паролів до облікових записів із дотриманням принципу їх унікальності.

4.    Регулярно    здійснювати    перевірку    активних    сесій    у    месенджерах    та закривати невідомі або підозрілі.

5.    Інформувати персонал про актуальні кіберзагрози, типові ознаки фішингу та способи протидії.

Пам’ятайте, забезпечення цифрової безпеки — ключовий елемент стабільної роботи державних структур, особливо в умовах гібридної війни.