“Получил сообщение от друга, которого не видел десять лет — оказалось, он отправил приглашение, через которое я сам начал отправлять сообщения своим друзьям”
.
Что скрывается под приглашением от «старых друзей» в соцсетях
Идея атаки на основе знакомства, или атаки социальной инженерии с использованием доверенных контактов, существует давно. Но её реализация в соцсетях стала особенно эффективной из-за двух факторов: готовность людей принимать приглашения от давних знакомых и автоматизация процессов обмена данными между приложениями.
Часто используется схема с запросом на добавление в друзья. У человека, который отправляет запрос, профиль выглядит правдоподобно: имя совпадает с реальным знакомым, возможно, есть несколько фотографий из прошлых лет, профиль создан давно. Такой запрос не вызывает вопросов. Но после принятия приглашения происходит не просто добавление в список друзей.
Некоторые приложения и платформы предлагают «упростить» подключение, разрешив доступ к списку контактов, чтобы «быстро найти друзей». Разрешение даётся часто неявно, в процессе принятия приглашения, через стандартный диалог API платформы. После этого приложение, связанное с профилем, получает доступ к вашему списку друзей и может использовать его для массовых действий.
Как автоматизированная система отправляет сообщения вашим друзьям
Технически процесс может выглядеть так:
- Вы принимаете запрос от профиля А.
- Профиль А связан с приложением Б, которое имеет разрешение на чтение списка друзей профиля А.
- После того как вы стали другом профиля А, приложение Б теперь может читать ваш список друзей через API платформы.
- Приложение Б использует полученный список для отправки сообщений от вашего имени, имитируя ваш аккаунт.
Для этого не нужен доступ к вашему аккаунту напрямую — достаточно использовать разрешения, которые предоставляет платформа для взаимодействия между пользователями и приложениями. Это не классический взлом пароля, это эксплуатация доверенных связей между пользователями.
Различия между автоматическим спамом и целевыми сообщениями
Сообщения, которые получают ваши друзья, могут быть двух типов:
- Массовые однотипные сообщения. Часто содержат ссылки на фишинговые сайты, приглашения в группы или на ресурсы с вредоносным контентом. Они отправляются всем друзьям одновременно, текст стандартный.
- Персонализированные сообщения. Система может использовать данные из профилей друзей (имя, город, интересы) для составления текста, который выглядит индивидуальным. Например: «Привет, [Имя друга], давно не виделись, тут интересная группа по [интерес из профиля], присоединяйся». Такие сообщения вызывают больше доверия.
Именно второй тип чаще приводит к тому, что друзья принимают приглашения или переходят по ссылкам, продолжая цепочку распространения.
Почему невозможно быстро отследить источник
Когда ваши друзья начинают получать сообщения, первая реакция — сообщить вам. Вы проверяете свой аккаунт, но в истории отправленных сообщений ничего не находите. Это происходит потому, что сообщения отправляются не через ваш аккаунт напрямую, а через систему приложения, использующую API.
Отслеживание требует анализа:
- Какие приложения имеют доступ к вашему профилю через друзей?
- Какой именно запрос на добавление в друзья вы приняли в последнее время?
- Имеет ли профиль этого «друга» связанные приложения?
Платформы часто не предоставляют удобных инструментов для такого анализа. Информация о связанных приложениях может быть скрыта в настройках разрешений API, которые не очевидны для обычного пользователя.
Как проверить и ограничить доступ приложений через друзей
Большинство социальных платформ имеют раздел настроек, посвящённый приложениям и сайтам. Но там обычно показываются приложения, которые вы напрямую разрешили. Чтобы увидеть приложения, имеющие доступ через ваших друзей, нужно искать более глубокие настройки.
Для популярных в России платформ проверка может включать:
- Настройки приватности / безопасности. Найдите раздел «Приложения, использующие вашу информацию» или «Настройки API». В некоторых случаях доступ через друзей обозначается как «Друзья приложений».
- История активностей. Не история сообщений, а история разрешений и действий API. Она может показывать, когда и какое приложение получило доступ к вашему списку контактов.
- Удаление неиспользуемых разрешений. Если вы найдёте приложения, которые вы не знаете, или которые были разрешены давно, удалите их доступ.
Долгосрочные последствия для вашей цифровой репутации
Кроме непосредственного спама, такие атаки влияют на восприятие вас в цифровом окружении. Друзья, получившие странные сообщения, могут начать сомневаться в безопасности вашего аккаунта или в вашей внимательности. Это создаёт цифровой след, который может использоваться в будущем для более целевых атак против вас или ваших знакомых.
Если система собрала данные о вашем круге общения, эти данные могут быть использованы для:
- Создания более персонализированных фишинговых атак против вас или ваших близких.
- Анализа социальных связей для других видов социальной инженерии.
- Попыток взлома аккаунтов через восстановление пароля, используя информацию о друзьях.
Профилактика: как не принимать «опасные» приглашения
Не каждый запрос от старого знакомого опасен. Но есть признаки, которые стоит проверять:
| Признак | Что делать |
|---|---|
| Профиль с именем знакомого, но без новых фотографий или постов за несколько лет | Проверить активность профиля через поиск по совместным друзьям или старым фотографиям. Если активность отсутствует, возможно, профиль заброшен или используется для других целей. |
| После принятия запроса сразу появляются предложения «упростить поиск друзей» или «подключить приложение» | Не давать дополнительные разрешения. Прервать процесс, если он выглядит как автоматическая интеграция. |
| Запрос пришёл не через основную платформу, а через связанное приложение или сайт | Такие запросы часто имеют меньший уровень контроля. Лучше добавить человека напрямую через основную платформу, если он действительно знаком. |
| У «друга» в профиле указаны странные или многочисленные связанные приложения | Это можно иногда увидеть в разделе «Интеграции» или «Приложения» на странице профиля. Если их много и они неизвестны, это может быть признаком. |
Основное правило: если вы принимаете запрос от давнего знакомого, сразу после этого проверьте настройки разрешений, связанных с друзьями. Убедитесь, что никакие новые приложения не получили доступ к вашим данным через эту связь.
Что делать, если атака уже произошла
Если ваши друзья получили сообщения:
- Немедленно сообщить друзьям. Объяснить ситуацию, чтобы они не переходили по ссылкам и не принимали приглашения от «вашего» имени.
- Отменить последнее принятое приглашение. Удалить из друзей того пользователя, чей запрос вы приняли перед началом атаки. Это может прервать автоматический доступ приложения.
- Провести глубокую проверку разрешений. Как описано выше, найти и удалить все нежелательные приложения, особенно те, которые имеют доступ «через друзей».
- Рассмотреть возможность временного ограничения видимости списка друзей. В настройках приватности многих платформ можно ограничить, кто может видеть ваш список друзей. Это предотвращает автоматическое чтение списка через API.
Как подобные схемы связаны с более крупными угрозами
Эта схема не самостоятельна. Она часто является частью подготовки для более серьёзных атак, таких как:
- Целевой фишинг. Собираются данные о круге общения и интересах, затем создаются персонализированные фишинговые сообщения, которые сложнее распознать.
- Атаки на бизнес-среды. Если вы используете социальные платформы для профессиональных контактов, полученный список может быть использован для атак на коллег или партнёров.
- Создание ложных социальных доказательств. Аккаунты, которые стали «друзьями» через такие схемы, могут использоваться для создания ложной активности вокруг определённых ресурсов или групп, манипулируя восприятием.
Понимание механизма помогает не только защитить себя, но и увидеть связь между простым принятием запроса в друзья и более сложными цифровыми угрозами.