В одной из атак сотрудник компании открывает поддельную страницу входа, видит знакомый интерфейс и почти не замечает подвоха. Пара лишних миллисекунд на отклик, странная задержка после клика — и его учётная запись уже ушла в чужой сеанс.
Именно на такие сценарии теперь нацелен Bluekit — фишинговая платформа, которая не просто копирует страницы входа, а умеет вести жертву через «живой» браузер атакующего.
Что это за схема
Bluekit — это фишинг как услуга: злоумышленники арендуют готовый набор для кражи учётных данных. По данным исследователей, платформа недавно получила почти 70 новых доменов и добавила технику browser-in-the-middle, то есть «браузер внутри атаки».
Смысл прост. Жертва открывает поддельную страницу, а дальше её действия проходят через браузер злоумышленника, который сам загружает настоящий сайт входа и пересылает запросы туда и обратно.
Раньше многие такие кампании работали по схеме adversary-in-the-middle — когда атакующий встраивался между человеком и сайтом. Теперь Bluekit пошёл дальше: он показывает почти настоящий интерфейс, а ввод пользователя уходит на сторону атакующего в реальном времени.
Как это работает технически
Для этой схемы Bluekit использует открытый JavaScript-пакет rrweb. Он сериализует структуру страницы и отправляет её через WebSocket, чтобы у жертвы создавалась максимально правдоподобная копия экрана входа.
Изображения, шрифты и таблицы стилей тоже подтягиваются через инфраструктуру фишеров. Когда человек печатает пароль или нажимает кнопку, ввод уходит обратно в браузер злоумышленника, а аутентификация завершается уже там.
Результат для атакующего простой: он получает действующую сессию и полный доступ к аккаунту. Именно поэтому такие атаки особенно опасны для корпоративной почты, облачных кабинетов и любых сервисов, где вход завязан на одноразовые коды и быстрые действия пользователя.
Bluekit ещё и активно маскируется. Он проверяет браузер по множеству признаков, подсовывает CAPTCHA, похожую на защитные экраны крупных платформ, и сверяет параметры устройства, включая память, ядра процессора и разрешение экрана. В отдельный блок проверки входит и поиск несоответствия IP через WebRTC — именно так система пытается заметить прокси или иные инструменты приватности.
Почему это опасно
Главная проблема — иллюзия нормального входа. Человек видит привычную страницу, а не явную подделку, поэтому бдительность падает. Обычные признаки фишинга тут работают хуже: дизайн может совпадать почти идеально, а вредоносный механизм прячется не в картинке, а в логике обмена данными.
Ещё одна деталь — задержки. Netcraft отмечает, что rrweb даёт хорошую визуальную точность, но некоторая латентность всё равно остаётся. Если на странице входа курсор двигается с запаздыванием или нажатия ощущаются «ватными», это уже повод насторожиться.
Для компаний риск ещё выше. Такой подход помогает не только украсть пароль, но и увести активную сессию, после чего атакующий может читать письма, менять настройки безопасности и запускать новые атаки от имени жертвы. Похожие схемы мы уже разбирали в материале про фальшивые чеки в Shop используют для callback-фишинга — там ставка тоже делалась на доверие к знакомому сценарию.
Как понять, что риск уже рядом
Признаки не всегда очевидны, но они есть. Насторожить должны странные паузы на странице входа, повторяющиеся CAPTCHA без понятной причины, неожиданные проверки устройства и просьбы снова ввести пароль сразу после успешного входа.
Отдельный сигнал — если страница ведёт себя не как обычный сайт: элементы подгружаются рывками, клик срабатывает с задержкой, а вкладка слишком активно обращается к сети. В корпоративной среде это уже повод проверить журналы входов и уведомить службу безопасности.
Для тех, кто часто работает с почтой, облаком и чатом в браузере, риск особенно высок. Под ударом оказываются и обычные веб-интерфейсы вроде web Instagram*, и браузерные клиенты мессенджеров, и любые рабочие кабинеты, где человек вводит пароль без лишних проверок.
Как защититься
Полностью полагаться на один пароль нельзя. Нужны длинные уникальные пароли, отдельные учётные записи для работы и личных сервисов, а также многофакторная аутентификация через приложение или аппаратный ключ.
Помогает и простая дисциплина: не входить в важные аккаунты по ссылкам из писем, проверять адресную строку, не игнорировать задержки и не проходить повторный вход по первому же запросу страницы. Если сайт начал вести себя необычно, лучше закрыть вкладку и открыть сервис вручную из закладки или через официальный адрес.
В поездках и при работе через открытые точки доступа стоит помнить о рисках перехвата трафика и подмены страниц. Для таких сценариев некоторые пользователи дополнительно используют [защиту трафика в поездках]https://freedome.space), но это не отменяет базовой гигиены: проверку адресов, обновления браузера и осторожность с письмами.
Для компаний полезны поведенческие детекторы, анализ WebSocket-сессий на страницах входа и контроль аномальных входов по браузерным отпечаткам. Именно такие следы Bluekit оставляет чаще всего.
Чек-лист: что сделать прямо сейчас
- Проверьте, включена ли многофакторная аутентификация в почте, облаке и рабочих сервисах.
- Замените повторяющиеся пароли на уникальные и длинные.
- Не входите в аккаунты по ссылкам из писем и мессенджеров.
- Обращайте внимание на задержки, странные CAPTCHA и повторные запросы на вход.
- Обновите браузер и удалите лишние расширения.
- Посмотрите журналы входов в важных сервисах и выйдите из подозрительных сеансов.
- Если вы часто работаете в командировках, заранее настройте защиту аккаунтов и резервные способы входа.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.