Исследование топ-100 самых популярных приложений в категории объявлений и онлайн-услуг выявило свыше 2000 уязвимостей, из которых более 500 признаны критическими и высокоопасными, сообщили «Известиям» специалисты AppSec.Sting.
«Проблемы с защищенностью внутренних данных дают киберпреступникам возможность запускать масштабные фишинговые атаки, отправлять ложные уведомления и предлагать оплатить услуги, которых нет. В итоге пользователь рискует остаться не только без мечты о доме у моря, но и без жилья и денег», — подчеркнули в компании.
Мошенники часто выдают себя за работников службы поддержки и с помощью социнженерии вынуждают жертв сменить пароль или пройти так называемую «проверку». Из-за выявленных уязвимостей в мобильных приложениях человек может потерять доступ к своему аккаунту и финансовые средства, добавили там.
Редакция нашла в интернете пострадавших от подобных инцидентов. К примеру, организация, работающая в музыкальной сфере более пяти лет, лишилась доступа к своему бизнес-профилю в одном из таких приложений. Весной 2025 года ее аккаунт неожиданно был переименован, все объявления удалены, а при попытке авторизации телефон и электронная почта уже не совпадали. Вместо предложений кавер-группы на странице стали появляться объявления о продаже цветов, рассказал представитель компании на одном из форумов.
По его словам, злоумышленники воспользовались недочетом системы — email-адреса были неполностью замаскированы и их можно было легко определить. Зная адрес, мошенники связываются со службой поддержки и получают возможность контролировать чужой аккаунт. Компании удалось вернуть аккаунт, однако спустя час он вновь оказался заблокирован, а попытки вывести средства или удалить профиль для создания нового остались безуспешными.
Подробности — в эксклюзивном материале «Известий»:
Цепкость рук: в топ-100 приложений объявлений и услуг нашли более 2 тыс. уязвимостей