Хакеры используют X-авторизацию для мошенничества

В соцсети X зафиксирована новая масштабная фишинговая кампания, нацеленная на лидеров криптосообщества. В отличие от традиционных схем с фейковыми логин-страницами, злоумышленники используют саму инфраструктуру X, обходя пароли и двухфакторную аутентификацию.

Первым о проблеме сообщил разработчик Зак Коул, отметивший, что атака «невидима для систем и активна прямо сейчас». Он пояснил, что механизм основан на злоупотреблении системой авторизации приложений в X.

Жертвы получают личные сообщения с ссылкой, замаскированной под официальный домен Google Calendar. В предпросмотре отображается реальный адрес calendar.google.com, но клик приводит на сайт x.ca-lendar.com, зарегистрированный всего несколько дней назад.

Далее страница перенаправляет пользователя на запрос авторизации X-приложения под названием Calendar. На самом деле это поддельное приложение с кириллическими символами в названии. После нажатия «Разрешить» хакеры получают полный контроль над аккаунтом: могут менять настройки, публиковать твиты, подписываться и рассылать фишинговые ссылки дальше.

Исследователь безопасности Ohm Shah из MetaMask подтвердил, что атака активно используется «в дикой среде». Под удар попали не только крипторазработчики, но и другие публичные личности, включая модель OnlyFans.

Читать также: Социальная инженерия в крипте: топ-5 мошеннических схем

Главные признаки компрометации — появление неизвестных приложений в разделе X Connected Apps и редирект на Calendly вместо Google Calendar. Эксперты советуют немедленно отозвать права у всех подозрительных приложений с названием «Calendar».

По данным Chainalysis, только в августе пользователи потеряли более $12 млн из-за фишинга. Новый метод демонстрирует рост изощрённости атак: злоумышленники всё чаще используют легитимные механизмы самих платформ, делая фальсификации труднее для обнаружения.

В X новая атака: взлом аккаунтов через фейковый календарь