Киберпонедельник под прицелом: мошенники обходят 2FA через сайты и расширения

Generated by DALL·E

Хакеры научились получать доступ к аккаунтам россиян даже при включённой двухфакторной аутентификации (2FA). В ход идут взломанные сайты и вредоносные браузерные расширения, которые маскируются под полезные сервисы для покупок. Об этом в социальных сетях рассказывают эксперты программных продуктов компании «Код Безопасности».

Как обходят двухфакторную защиту

Ключевой инструмент в таких атаках — кража сессионных cookie-файлов. Это данные, которые помогают сайтам «узнавать» пользователя и сохранять его вход в аккаунт. По словам специалиста, именно из-за cookie злоумышленникам часто не нужны ни пароль, ни код из СМС или приложения. Двухфакторная защита в этот момент уже считается пройденной, потому что система воспринимает вход как продолжение активной сессии.

Почему всплеск атак связан с распродажами

Особенно активно такие схемы работают во время крупных онлайн-распродаж. В зоне риска оказываются периоды массового спроса, включая приближающийся «Киберпонедельник». Пользователям в соцсетях и на сторонних сайтах предлагают «инструменты для выгодных покупок». Обычно это расширения для браузера, которые якобы помогают находить скидки, купоны или кэшбэк. Однако установка такого «помощника» может закончиться тем, что браузер начинает делиться данными с посторонними.

Расширение как «шпионский модуль»

Как отмечает Максим Александров, спрос на скидки создаёт удобную почву для социальной инженерии. Человек сам ставит расширение, думая, что оно поможет сэкономить. «Ажиотаж вокруг скидок создает идеальную почву для социальной инженерии. Пользователь, жаждущий максимальной выгоды, сам устанавливает в браузер шпионский модуль», — пояснил эксперт. По его словам, опасные расширения нередко запрашивают слишком широкие разрешения. В результате они способны:

• перехватывать данные для входа в аккаунты;
• похищать активные сессии авторизованных пользователей;
• подменять платёжные реквизиты;
• получать доступ к данным, которые не нужны для работы «купонного сервиса».

Чем это грозит владельцу аккаунта

Главная опасность в том, что злоумышленник может действовать параллельно с владельцем аккаунта. Человек продолжает пользоваться сервисом и не сразу понимает, что кто-то уже внутри. «Преступник получает доступ к аккаунту параллельно с жертвой и может менять настройки, добавлять способы оплаты или оформлять заказы, пока владелец этого не замечает», — объяснил Александров. Особенно уязвимыми в такой ситуации становятся аккаунты на маркетплейсах, в сервисах доставки и других популярных платформах, где привязаны банковские карты и адреса.

Почему аккаунты стали товаром

По словам эксперта, аккаунты пользователей всё чаще рассматриваются как отдельный ресурс, который можно перепродавать или использовать повторно для мошенничества. Доступ к активному профилю позволяет преступникам оформлять заказы, менять данные в настройках или применять аккаунт для дальнейших схем — например, с обманом продавцов и покупателей.

Что важно помнить пользователям

Эксперты напоминают: двухфакторная аутентификация остаётся важной мерой защиты, но не гарантирует безопасность, если злоумышленник получил доступ к активной сессии. Поэтому при установке любых расширений стоит проверять их источник и разрешения, а также осторожнее относиться к «выгодным предложениям» в соцсетях и на неизвестных сайтах.