Схема основывается на возможности заказывать у соцсети выгрузку архива, содержащего данные за все время существования аккаунта.
https://www.securitylab.ru/upload/ib...f05d9bf035.jpg
Роскачество предупредило пользователей социальной сети «ВКонтакте» о новой мошеннической схеме с использованием приемов социальной инженерии. Схема заключается в том, чтобы заставить пользователям предоставить злоумышленникам свой пароль, введя его на фишинговом сайте, пишет ТАСС.
Мошенническая схема основывается на возможности заказывать у соцсети выгрузку архива, содержащего данные, собранные за все время существования учетной записи. Получить архив своих данных может только сам пользователь, будучи авторизованным в своем аккаунте, а ссылка на него является уникальной и открывается только из профиля самого пользователя.
Атака происходит следующим образом: пользователю «ВКонтакте» приходит сообщение, будто архив со всей его перепиской в течение 24 часов будет отправлен на почту, при этом указанный адрес явно не принадлежит пользователю. Для отмены отправки архива жертве предлагается авторизоваться в своей учетной записи и сменить пароль, пройдя по ссылке, которая на самом деле ведет на фишинговый сайт. Одним из таких сайтов является vkarchives.com (в настоящее время уже удален).
Получив пароль для авторизации в учетной записи жертвы, злоумышленник действительно может выгрузить архив со всеми ее данными и воспользоваться ими в преступных целях. В архиве содержатся не только открытые данные, но также загруженные пользователем документы, привязки номеров телефона, список использованных банковских карт, история платежей и пр.