Російські хакери викрали паролі від Gmail: кому варто турбуватися за свої дані

У період з квітня до початку червня хакери розсилали ретельно продумані фішингові повідомлення. Їхньою метою було переконати одержувачів створити і надати паролі для певних додатків, які забезпечили б доступ до їхніх облікових записів Gmail, пише BleepingComputer.

Як пояснюють дослідники Citizen Lab, жертви вважали, що створюють і передають пароль для конкретного додатка, щоб безпечно отримати доступ до платформи Держдепартаменту США, але насправді вони надають зловмиснику повний доступ до свого облікового запису Google.

Крадіжка Gmail-паролів: як діяли хакери

Метою зловмисників були відомі дослідники та критики Росії. Експерти розкрили тактику хакерів, описавши атаку на російського експерта з інформаційних операцій Кейра Джайлза.

Спочатку Джайлз отримав електронного листа, підписаного Клоді С. Вебер, нібито з Держдепартаменту США. Вебер, нібито з Держдепартаменту США. У ньому адресату пропонується взяти участь у "приватній онлайн-бесіді".

Після кількох електронних листів, у яких Джайлз висловив зацікавленість, але повідомляв, що не може долучитися до бесіди в зазначений день, шахраї запропонували йому приєднатися до платформи Держдепартаменту "MS DoS Guest Tenant", щоб "з легкістю відвідувати майбутні зустрічі, незалежно від того, коли вони відбудуться".

Джайлз погодився і отримав PDF-файл із докладним описом того, як створити пароль для додатка в обліковому записі Google, необхідний для реєстрації на передбачуваній платформі як гостьового користувача.

На більш пізньому етапі обману було надано пароль додатка "адміністраторам DoS США для додавання зовнішнього користувача в гостьовий клієнт O365". В інструкції йшлося, що це альтернативне рішення, яке забезпечує безпечний зв'язок через платформу між співробітниками Держдепартаменту США і зовнішніми користувачами з обліковими записами Gmail.

Хто стоїть за атакою і як захиститися

Дослідники безпеки з Google Threat Intelligence Group визначили кіберзлочинця як UNC6293. Вони вважають, що він спонсорується державою і може бути пов'язаний з APT29, групою під керівництвом Служби зовнішньої розвідки Росії (СЗР).

Важливо Учені з'ясували, як вебсайти відстежують вас: очищення файлів cookie не допоможе

APT29 відома під кількома іменами (NobleBaron, Nobelium, Cozy Bear, CozyDuke, Midnight Blizzard) і діє щонайменше з 2008 року. Її цілями, як правило, є урядові мережі, науково-дослідні інститути та аналітичні центри.

Щоб не стати жертвою хакерів, Google рекомендує зареєструватися у своїй Програмі розширеного захисту, яка посилює заходи безпеки облікового запису і не дає змоги створювати пароль для конкретного застосунку або входити в систему без надання певного ключа доступу.

Нагадаємо, експерти з кібербезпеки виявили колосальний витік, що включає 16 мільярдів розкритих облікових даних, що робить його одним із найбільших в історії.

Також повідомлялося, що понад мільйон пристроїв Android було зламано шкідливим ПЗ під час глобальної операції під назвою BADBOX 2.0.