Десятки миллионов украдены через Zoom: почему эту атаку до сих пор не могут остановить

"Ваш коллега ждёт вас на Zoom" — казалось бы, обычное сообщение.

Но именно с такой фразы началась атака, в результате которой венчурный инвестор Мехди Фарук потерял годы сбережений. Всё произошло настолько стремительно, что он даже не успел понять, как его ноутбук оказался взломан, а криптокошельки — опустошены.

Как работала схема

Атака началась с сообщения в Telegram от якобы знакомого Фарука - Алекса Лина. Поскольку они общались и раньше, просьба о звонке не вызвала подозрений. Мошенник попросил перейти в Zoom Business под предлогом "комплаенса" и упомянул, что к разговору присоединится ещё один знакомый.

Во время звонка звука не было, и в чате Фаруку "посоветовали" обновить приложение, чтобы решить проблему. На самом деле это была ловушка: после запуска файла его система была скомпрометирована.

"Шесть кошельков опустошены (моя вина, что не держал все под контролем). Мой ноутбук полностью вышел из строя. Годы сбережений исчезли за считанные минуты", — написал Фарук.

Пока хакеры выводили средства, они продолжали спокойно общаться с ним в Telegram, создавая видимость нормального диалога. Позже выяснилось, что аккаунт Лина был взломан.

Кто стоит за атакой

С Фаруком связались белые хакеры, которые помогли установить, что за атакой стоит группировка DangerousPassword, связанная с КНДР. Это не первый случай:

В марте северокорейские хакеры уже атаковали криптопредпринимателей через Zoom.

14 апреля глава NFT-платформы Emblem Vault Джейк Галлен потерял $100 000 из-за аналогичной схемы.

Сооснователь Manta Network Кенни Ли также сообщил о попытке взлома, предположительно организованного Lazarus Group.

По словам Ника Бакса из Security Alliance, этот метод позволил мошенникам вывести "десятки миллионов долларов".

Как защититься

Проверяйте ссылки — даже если сообщение пришло от знакомого, уточните у него лично.

Не скачивайте файлы из подозрительных источников.

Используйте аппаратные кошельки для хранения крупных сумм.

Включите двухфакторную аутентификацию везде, где это возможно.