TechCrunch вместе с исследователем Runa Sandvik проанализировали код фишинговой страницы, которую прислал иранский активист Нариман Гариб. Ссылка в WhatsApp вела жертву на поддельный сайт на DuckDNS, где собирались данные Gmail, телефонные номера и коды двуфакторной аутентификации.
Что произошло
Страница на домене alex-fabow.online показывала форму ввода логина Gmail или запрос телефонного номера. После ввода сервер сразу записывал их в открытый файл; в файле оказались более 850 записей — логины, пароли, 2FA‑коды и пользовательские агенты с Windows, macOS, iOS и Android.
Для WhatsApp хакеры подготовили QR‑код, который выглядел как процесс привязки устройства. При сканировании код пересылал аккаунт жертвы на их сервер, после чего скрипт требовал доступ к геолокации, камере и микрофону, отправляя координаты, аудиофайлы и фото каждые несколько секунд.
Почему это важно
- Техника использует бесплатный сервис DuckDNS, что затрудняет поиск реального местоположения серверов.
- Открытый доступ к файлам с данными жертв показал, насколько слабой была внутренняя безопасность у атакующих.
- Среди жертв были академик по национальной безопасности, руководитель израильского дрон‑проекта и ливанский министр – явный политический мотив.
Что дальше
Фишинговый сервер уже отключён, но код и методика обнародованы, поэтому похожие атаки могут появиться снова, используя другие бесплатные DNS‑сервисы. Организациям стоит избавиться от SMS‑кодов, перейти на генераторы в приложениях, проверять QR‑коды через отдельный канал и регулярно проверять открытые файловые хранилища, связанные с их инфраструктурой.