Свежая схема угона рабочих аккаунтов через «деловую встречу» — будьте аккуратнее
Среди знакомых уже пару раз проскочила схема, по которой уводят рабочие аккаунты. Описываю по шагам: не попадитесь!
Будущей жертве пишет знакомый и присылает ссылку на встречу. Внешне это копия его обычного календаря в Calendly.
Только ссылка ведёт на подменённый домен: условно вместо «microsoft» будет «miclosoft», например.
На звонке человек видит реальное видео собеседника. Его создали заранее на базе дипфейк-технологии. Картинка живая, доверие полное.
Дальше со встречей что-то случается, собеседник просит починить драйвер камеры или микрофона: «у меня не видно, помоги». Жертва выполняет одну команду в терминале или запускает программу. За доли секунды она прописывается в системные процессы и ставит стилер, который записывает нажатия на клавиатуре.
Вредоносная программа может спать днями и ждать одного: ввода пароля и кода аутентификации. Дожидается, вмешивается, перехватывает и уводит аккаунты, до которых дотянется.
Самое опасное начинается дальше. С угнанного аккаунта пишут следующим жертвам. Денег не вымогают. Ведут, копируя манеру владельца, поэтому собеседник верит. Каждый угнанный аккаунт становится приманкой для нового. Саймон Уиллисон разбирал такую же атаку через фейковую встречу и относит её к supply-chain-социальной инженерии: целятся в доверенный контур человека. Поэтому схема расходится как вирус, пока не доберётся до реальных денег или «жирных котов», у которых есть что забрать.
Схема сходна с ClickFix. В Microsoft назвали её техникой №1 для первичного доступа в 2025-м, это 47% компрометаций.
Таких схем будет больше: ИИ удешевил их.
Что делать, если попались:
разово прогнать скрытые процессы через кодинг-агента вроде Claude Code или Codex, переустановить систему.
Что сделать прямо сейчас: уникальные пароли, вход через Passkey, двухфакторная авторизация.