image«Лаборатория Касперского» заявила, что обнаружила масштабную аферу по хищению учетных данных пользователей «ВКонтакте» через приложение для проигрывания музыки. Жертвами хакеров, по данным компании, могли стать сотни тысяч человек, говорится в сообщении на сайте компании.

Для хищения информации использовалось приложение для прослушивания музыки под названием «Музыка ВКонтакте». Жертвы скачивали его из официального магазина Google Play, где собрано программное обеспечение (ПО) для Android-устройств. По грубым оценкам «Лаборатории Касперского», число пострадавших может исчисляться сотнями тысяч.

Кража данных происходила после того, как пользователь авторизовался в приложении, то есть вводил свои логин и пароль, установленные для доступа в свой аккаунт «ВКонтакте». Примечательно, что злоумышленники проверяли подлинность этих данных, отправляя их на легитимный сервер аутентификации oauth.vk.com, отмечают в «Касперском», а пользователи не догадывались о вредоносности программы, поскольку она справлялась со своей заявленной функцией — проигрывала аудиозаписи из «ВКонтакте».

Впоследствии злоумышленники чаще всего использовали украденные сведения для добавления аккаунтов пользователей в различные сообщества, которые собирались «раскручивать» в социальной сети. Однако в ряде случаев похитители просто меняли пароль, присваивая себе учетную запись.

Пресс-секретарь соцсети Георгий Лобушкин заявил, что пользователи «ВКонтакте», столкнувшиеся с хищением информации через приложение для проигрывания музыки, фактически добровольно отдали мошенникам свои данные.

Пользователям ВКонтакте, использовавшим сторонние приложения, рекомендуется в срочном порядке сменить пароли и активировать двухфакторную аутентификацию.

UPD
fuCtor:
Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить

Комментарии (38)


  1. maximw
    10.10.2015 00:18
    -1

    Двухфакторная аутентификация не поможет от по-сути MiTM атаки. Пользователи как отдавали пароль, так отдадут и код из смс.


    1. Chikey
      10.10.2015 11:43
      -14

      Двухфакторная аутенфикация вообще никогда не поможет, если человек использует парольный менеджер.


      1. nmk2002
        10.10.2015 22:29
        +1

        Chikey, чем вам не угодил парольный менеджер?

        Например
        Лично я использую Password Safe. Посмотрел прямо сейчас — у меня там 399 записей. Насколько я знаю, для шифрования контейнера используется AES. В итоге у меня один большой и сложный пароль от контейнера, а остальные пароли я в основном даже не знаю, так как они генерируются в самом приложении. Самое главное — у меня все пароли разные. И когда утечет мой пароль с условного vk.com, аккаунт от gmail не пострадает.


        1. Chikey
          11.10.2015 09:21

          Я помоему четко сказал если человек уже использует парольный менеджер то ТОТП или СМС в большинстве случаев никак не помогают в модели атаки. Минусуют ламеры не умеющие думать своей головой. Более подробно писал тут sakurity.com/blog/2015/07/18/2fa.html


          1. nmk2002
            11.10.2015 11:23
            +4

            Думаю, что вас минусуют потому, что ваше сообщение двусмысленно.
            Скорее всего я как и минусующие(справедливости ради замечу, что я не минусовал) прочитал так: «Если вы используете парольный менеджер, то все уже настолько плохо, что никакой второй фактор вас не спасет.»
            После прочтения вашего топика на sakurity стало понятно, что вы имели в виду: «Если вы используете парольный менеджер, то двухфакторка не добавит вэлью».
            С общей мыслью неэффективности 2FA не согласен. Если есть способы завладеть вторым фактором, это не отменяет того, что наличие второго фактора затрудняет задачу злоумышленника.


            1. Chikey
              14.10.2015 22:31

              Понятно что затрудняет. Вопрос насколько? На 5 процентов? Потому что всего то требуется выудить с помощью попапа еще один код и дальше делать что угодно. По сути security through obscurity


              1. nmk2002
                15.10.2015 12:52

                Если говорить про конкретный случай, описанный в топике, то пользователям, которые вводят пароли в непонятные приложения мало что поможет. Музыку то послушать очень хочется, а тут хорошие люди такое приложение удобное сделали. Ну как им не доверить свой пароль?
                Проблема данного примера в том, что пользователи не понимают, что нельзя всем раздавать ключи от своей квартиры.
                А в целом по теме 2fa: Многофакторная аутентификация бывает разная и не везде преусмотрена защита от глупостей пользователя. Но даже одноразовые пароли успешно защищают от большого количества типов атак на парольные аккаунты.


                1. Chikey
                  15.10.2015 21:17

                  Мой коммент не имел отношения к теме поста а просто уточнение. Одноразовые пароли не защищают от атак на пользователей использующих парольные менеджеры. В лучшем случае сокращают время эксплуатации.


                  1. nmk2002
                    16.10.2015 00:48

                    Пароль могут утащить с компьютера пользователя, а seed и counter таким образом скомпрометировать нельзя.
                    Злоумышленник может попытаться сбросить пароль жертвы через восстановление пароля.
                    Ну и да, время эксплуатации скомпрометированной учетной записи сокращается: для каждого платежа в интернет-банке потребуется еще один OTP.


    1. Jeditobe
      10.10.2015 17:26
      -1

      Этот совет только для одумавшихся и понявших жизнь, чтобы компенсировать ошибки прошлого.


  1. egorsmkv
    10.10.2015 00:18
    -12

    Кто первый?

    http://xn-----6kcaclwmxecbtto1bujcjc4f0eta.xn--p1ai/ap/admin.php


    1. anmiles
      12.10.2015 13:56

      Что это?


  1. zxcabs
    10.10.2015 02:28
    +1

    Чем не устраивает стандартное вк приложение? Там же можно музыку слушать…


    1. Arik
      10.10.2015 05:39
      +3

      Не знаю точно как под андроид, но под iOS убрали прослушку музыки с офф приложения, а до этого как минимум не было кэша, каждый раз дергал с интернета. Новость конечно про приложение под андроид, но может такие же были причины выбирать стороннее приложение для прослушки музыки


      1. heilage
        10.10.2015 08:49

        Под андроидом пока еще можно.
        Скорее всего людям не хватило стандартной функциональности приложения.


        1. Denai
          10.10.2015 12:41
          +9

          Откуда вообще уверенность что они подозревают о существовании официального приложения? Я регулярно вижу как гуглят не-гики, они совершенно не различают «официальные» и какие-то другие сайты/приложения и выбирают исключительно по красоте иконки и забавности названия


          1. Grim_dev
            10.10.2015 13:48
            +9

            Плюсую предыдущему оратору, таже ситуация и с дровами, вот спрашивается почему люди не идут на официальные сайты за драйверами для их принтеров, видях, и прочего? Я еще понимаю с варезом… но когда наблюдал картину как местный офисный планктон качает с непонятного сайта непонятную сборку гуглхрома только потому что она оказалась первой в выдаче поисковика ( не гугл) встает вопрос о психическом здоровье этих людей.


            1. om2804
              12.10.2015 10:47

              Всё просто. На официальных сайтах бывает очень сложно их найти, т.к. спрятаны где-нибудь в Сервис -> Поддержка -> выберите продукт -> выберете ОС -> выберете ещё что-нибудь -> а теперь среди кучи всего попробуйте найти то, что нужно.
              А про поиск на сайте догадываются не все. Плюс он не всегда там адекватно работает
              Поэтому «простым» пользователям проще загуглить «скачать драйвер ...» и поставить трояна на свой ПК


              1. Grim_dev
                12.10.2015 10:58

                Посему — всем своим родственикам, коих парк ПК мне приходится поддерживать добровольно принудительно, выдаю запрет в политиках на доступ к установке драйверов и по, лучше уж отвлекусь после работы, по удаленке поставлю, что требуется, чем потом приехать в гости и просидеть пол дня вычищая зловредов из всех щелей. А куда можно впаиваю ubuntu, бабушке какая разница из чего с внуком созваниваться и в однокласниках висеть, а так как зловредов под десктопные *nix несравнимо меньше чем под окна, так хоть безопаснее. Но вот затю после очередного полного вычищения ПК со сносом ОС ( ох не хотел этого делать, но пришлось) поставил фриз на системы диск. Кстати о фризе — спасибо кейсу на хабре 2012 года по моему, полезная штука хоть и загрузка дольше.


      1. makaroff
        10.10.2015 11:11
        +1

        Интересно, iOS версия также действовала?


        1. Mendel
          10.10.2015 17:03
          -1

          Тот же вопрос. Буквально неделю назад скачал его, посмотрел на предложение ввести логино-пароли от вк или просто зарегистрироваться и пользовать просто поиск музыки, и удалил… смотрел на него, смотрел. Долго боролся между «да пофиг, у меня двуфакторная, да и криворуких разрабов которые не умеют дружить между собой кучу чужих криворуких апи бывает много, сам часто такой же, и вообще официальный же шоп эпловский», но зануда победил, я его снес и поставил другой известный музыкальный сервис, который с контактом не коннектится…


      1. Woit
        10.10.2015 19:10

        в iOS приложении достаточно ввести в адрес /audio, если мне не изменяет память


      1. urix
        12.10.2015 16:13

        Под iOs можно сделать прослушивание музыки, есть для этого простой хак


        1. navion
          16.10.2015 11:41

          И какой же?
          vk.com/audio в адресной строке открывает страницу в Safari.


    1. AndyRoss
      10.10.2015 11:34
      +2

      Это приложение позволяло не только слушать, но и скачивать музыку на девайс. Тоже пользовался им однажды – отсутствие нормального oauth входа тогда очень смутило, но положительные отзывы и желание поставить любимую мелодию на рингтон возобладали над здравым смыслом. Правда было это уже больше года назад. Возможно тогда данных ещё не собирали :)


      1. crypby
        10.10.2015 13:49

        Собирали. Вспоминаю, что для залогивания тоже удивился отсутствию oauth и невозможности использовать акк с двухэтапной аутентификацией. Пришлось отключить конкретно для залогивания там двухфакторную, а потом опять включать. Кстати, время от времени контакт потом предупреждал, что кто-то пытался зайти в аккаунт, но у него не получилось за незнанием второго временного кода. Айпишники все были Украинские.

        Потом начал юзать Яндекс.Музыку и удалил.


        1. fuCtor
          11.10.2015 14:51
          +2

          Для приложений не поддерживающих двухфакторку есть возможность генерации пароля (мои настройки -> безопасность -> настроить пароли приложений), который потом при необходимости можно удалить.


      1. nikitosk
        11.10.2015 18:04

        Как оно выглядело хоть?


        1. crypby
          11.10.2015 19:18

          Вот такое окно всплывает ВК, но само и уплывает через пару секунд.


  1. jacob1237
    10.10.2015 14:41
    +14

    А как же антивирус Cezurity? Неужели не помог?)))


  1. ssp2
    10.10.2015 21:26
    +4

    Наверно продукты Касперского любили бы больше, если бы в их информационных сообщениях было меньше пиара, а больше полезной информации. Я прошёл по всем их ссылкам по этой теме, но найти инфы о том, что же это за приложение (кто издатель, версии, точное название) так и не смог. Подобных приложений на маркете с десяток. Так и чешутся руки поставить их антивирус и «решить все проблемы».


    1. anmiles
      12.10.2015 13:58

      Да хоть с сотню.
      Крайне не рекомендуется пользоваться чем-либо кроме официального. Это и без антивируса понятно.


  1. exIV
    12.10.2015 07:37

    На самом деле пиар Касперского, причем совсем не самый белый. Что приложение производило аутентификацию через свою форму еще не говорит о «злонамеренности» разработчкиов. Это может говорить просто о том что им было удобней сделать именно так (например потому как токен аутентификации ВК для приложений действителен только СУТКИ, и человеку пришлось бы иначе каждый день заново вводить пароль чтобы послушать музыку). Но откуда это знать в Лаборатории Касперского-то? Главное ведь громко крикнуть, да? Конечно кривовато и плохо пахнет, но кричать о том что разработчики преступники (а именно это вытекает из заголовка и содержания статьи) мягко говоря не корректно.

    А приложением этим на iOS пользовалось действительно уйма народу, но вроде как нет сотни тысяч жалоб о какой-то подозрительной активности с их аккаунтов. Вобщем плохо пахнет господа :-/ Зачем же так людей-то пугать на ровном месте…


    1. kovalevsky
      12.10.2015 08:57

      Почему сутки и почему вводить заново? В Вк, если не ошибаюсь, тоже есть параметр «offline» и эндпоинт для обновления токена. Так что будет вылетать юзер из аккаунта или нет — зависит только от разработчика


      1. exIV
        12.10.2015 09:13

        Не видел я в ВК этого и не нашел сейчас, посмотрев документацию, хотя возможно оно и есть и у меня французская болезнь «непашарам». Но вроде как нет, киньте ссылкой, если можно.

        И дело не в том есть или нет такая возможность, у меня претензия именно к содержанию статьи и ее заголовку. Намного тактичней было бы написать — «Лабаработрия Касперского нашла кривое приложения для iOS». Но согласитесь, это было бы просто смешно ;)))

        Вместо этого используется весьма сомнительный пиар… :-/ По-сути авторов очень популярного приложения обвинили в зловредных действиях, хотя у них может даже и близко помыслов таких не было.


        1. kovalevsky
          13.10.2015 10:08

          vk.com/dev/permissions и листайте в самый низ:

          offline — Доступ к API в любое время со стороннего сервера (при использовании этой опции параметр expires_in, возвращаемый вместе с access_token, содержит 0 — токен бессрочный).


          1. exIV
            13.10.2015 10:58

            Ага, сенкс! Непашарам…


    1. priv8v
      12.10.2015 13:08

      Вот идем сюда и там подробно читаем и смотрим скриншоты. Мало так данных — потому что приложение менялось постоянно, а самую популярную как раз заскринили и показали — тех данных вполне достаточно, вот на скриншоте все видно — все данные на нем есть, включая имя пакета.

      А то, что нет полного списка с md5 — это уже вопрос доброй воли, не все антивирусы и на на все темы прилагают такую табличку.