Злоумышленники больше не выманивают пароли — они крадут «ключи от сессии», чтобы заходить в чужие профили без всяких кодов подтверждения.
Ранее мошенники использовали трюк: заставляли жертву назвать логин или отправляли ей SMS с кодом подтверждения. Теперь ситуация изменилась. Хакеры перехватывают специальный сеансовый ключ, который создается браузером для удобства — он устраняет необходимость вводить пароль при каждом входе.
Часто злоумышленники маскируются под бесплатные предложения: например, взлом аккаунта в игре, автоматический поиск скидок или кэшбэков. Пользователя просят скопировать и вставить вредоносный код на сайт. После этого мошенники получают полный доступ к аккаунту. Особенно активны они во время онлайн-распродаж.
Игорь Котилевец, преподаватель РТУ МИРЭА, предупреждает, что двухфакторная аутентификация уже не обеспечивает полной защиты. SMS-коды можно перехватить, а шестизначные коды из приложений действуют всего 30 секунд — этого времени достаточно для атаки. Единственной действительно надежной защитой эксперты считают аппаратные токены, которые физически привязаны к сайту.
Психологическая манипуляция остаётся той же — мошенники торопят или пугают жертву, чтобы она совершила необдуманный поступок.
Специалисты советуют:
— Не переходите по ссылкам, присланным от незнакомых людей.
— Всегда проверяйте адресную строку браузера.
— Не копируйте и не вставляйте непонятные коды на подозрительных сайтах.
— Если вас торопят или пугают, лучше остановиться и перепроверить всю информацию.
Внимательность и аккуратность сегодня важнее любого пароля.
