Наш Император с его 2,5к друзей сталкивается с этим слишком часто, и вот попросил написать заметочку для жителей Котоимпериума .
Заметочку о том, как же сейчас массово ломают аккаунты ВК.
Казалось бы взлом ВК - это просто! Но не в 2к20, уже нет, хотя еще лет 10 назад, было проще некуда.
Вот смотрите, у меня есть номер телефона и пароль человека, этого достаточно? Нет, при входе с нового IP запросят подтверждение, у многих включена двухфакторная аутентификация, которая попросит ввести код в любом случае. А даже если вам повезет и по логину и паролю, которые еще нужно узнать, вас пустит... То в приложение на телефон пользователя прилетит уведомления об успешном входе, а там же кнопка, нажатие на которую выкинет вас со страницы. Незаметно и надолго зайти не выйдет.
Так что все, мы в безопасности? Ну взломы и "попрошайки" то есть, все стало лишь сложнее, взломы продолжают иметь место.
И тут самое интересное, злоумышленникам по-хорошему не нужен ваш пароль, и не важно Qwerty1337 он или 4JJX?[Q9P2(x'?dW, сложность его вас не спасет, хотя спасла бы еще 10 лет назад.
Первый способ. Довольно очевидный способ взлома аккаунтов ВК — взлом вашего мобильного телефона. Вредоносы для Андроид явление крайне популярное и хорошо окупаемое, ведь с телефона мы и совершаем банковские транзакции)
Как обычно происходит заражение?
1. Сторонние магазины приложений, там вредоносов больше всего. Перенаправляют на них, используя легальную рекламу поисковых систем, чаще ссылка на такое приложение в поиске выше настоящих приложений. Ты качаешь приложение, сам его ставишь, отключаешь ограничения на "неподписанное приложение" и вуаля, приложение у вас, да оно даже работает, но и телефон заражен. Защита — не устанавливать приложения из сторонних магазинов, только Google Play, никаких "бесплатных" приложений из других источников.
2. Вредоносные мобильные приложения в Google Play. Да и такое бывает, обычно они маскируются под легальные и известные приложения. Долго они там не висят, ибо гугл активно проверяет их на предмет вредоносов, но кого-то заразить они успевают. Как их определить? По количеству загрузок и оценок, их будет мало, по наименованию издателя, да и дате выпуска в магазин.
3. Рассылки. Да, иногда в смс, или сообщения в мессенджерах прилетают ссылки на приложения с рекламой. Обычно от зараженных пользователей. Стоит ли говорить что ставить что-то полученное по ссылке - плохая идея? Это еще хуже, чем сторонний магазин, ни в коем случае.
4. Взлом вашего телефона без приложений. Это актуально лишь для ОЧЕНЬ старых Андроидов, которые не обновлялись ближайшие пару лет. Тогда от вас ничего не зависит и все пройдет само. Защита — не пользоваться старьем, покупать что-то, что более-менее обновляется.
А что произойдет после заражения телефона? Злоумышленники постараются монетизировать все полученные аккаунты, включая ВК. Они незаметно сбросят пароль через телефон, входа вы тоже не увидите, ведь телефон под контролем вируса. И вуаля, вы уже просите денег у друзей.
Так, а почему только Андроид? Потому что иметь дело с iOS себе дороже, вредонос так легко не написать, вмешаться в работу других приложений ОЧЕНЬ сложно, обновляются они оперативно и все вместе, да и с устаревшими версиями не все так радужно. Рынка Андроида злоумышленникам и так хватает. Так что, iOS - это 100% защита от угона аккаунта? Нет, конечно,и вот почему.
Второй способ. Получение прав через oAuth. oAuth это такая замечательная штука, которая позволяет вам залогиниться куда-то, используя аккаунт на другом сервисе. Например, зайти на порнхаб через ВК) И тут нет ничего опасного, технология не отдает ваш пароль порнхабу. Она дает лишь токен (билет) на получение каких-либо прав к вашему аккаунту. Вообще, технология прекрасная, все передается более-менее безопасно, но есть нюанс...
oAuth может использоваться и для того, чтобы передавать данные с аккаунта в какое-либо приложение. Например, если вы хотите сидеть ВК не через стандартное мобильное приложение, то вам нужно для этого приложения получить токен, с правами на все действия. Это логично, это легально, это так и работает.
Но вот только как контролируется, какие права и кому дать? Это контролируете вы сами! Когда вы логинитесь на условный порнохаб через ВК первый раз, он спросит у вас, даете ли вы порнхабу вот такие права? И отобразит список(картинка 2), обычно это право на получение информации о вашей странице ВК. Вы нажмете на кнопку, предоставленную ВК, и порнхаб получает токен только на этот список действий.
А если вас заманить на сайт, и попросить там залогиниться, запросив права как у приложения? На ВСЕ действия, включая отправку сообщений? Вы обратите внимание на то, что именно у вас просят? Многие нет. Многие привыкли давать кучу разрешений в Андроиде и не особо задумываться кому и что разрешают.
А потом с легально полученным токеном на отправку и просмотр сообщений, от вас начинают слать "попрошайки".
И телефон не заражен, и логин/пароль в секрете, и уведомлений о входе нет, а аккаунт под контролем.
Ну и такой способ и в серьезных атаках используют. Например, в 2016 году во время взлома Демократической партии США хакеры заставили часть сотрудников зайти под аккаунтом Google и отдать им токен на чтение gmail почты.
Защита - с умом давать права всяким сайтам и приложениям к вашим аккаунтам.
Вот такие дела, ребят, это самые популярные способы угона аккаунтов ВК сейчас.
Больше думайте головой, это лучшая защита)
