Красивая обёртка для кражи данных. Как выглядит фишинг, который не стыдно показать коллегам
NewsMakerИндустрия нелегального софта добралась до высшей лиги.
Фишинговые кампании против пользователей менеджеров паролей выходят на новый уровень. С сентября 2025 года злоумышленники последовательно развивают набор инструментов под названием 1Phish, нацеленный на клиентов сервиса 1Password. За несколько месяцев примитивная страница для сбора логина и пароля превратилась в многоэтапную платформу с поддержкой двухфакторной аутентификации, защитой от анализа и сложной серверной логикой.
Первые атаки специалисты из Datadog Security Labs зафиксировали осенью 2025 года. Пользователям 1Password рассылали письма о «взломе» учётной записи и предлагали срочно «проверить» данные. Ссылки вели на домены с опечатками, маскирующиеся под официальный сайт. Ранние версии набора представляли собой простую HTML-форму объёмом около 250 строк кода, которая отправляла введённые адрес электронной почты, секретный ключ и пароль на сервер злоумышленников. Поддержки одноразовых кодов тогда не было.
К концу 2025 года структура усложнилась. В код добавили проверку полей на стороне клиента, имитацию сообщений об ошибках и задержки при отправке формы, чтобы страница выглядела убедительнее. Появилась система сбора цифрового отпечатка браузера.
Скрипт анализировал наличие признаков автоматизации, проверял плагины, параметры экрана и видеокарту через WebGL, а затем передавал данные на сервер в зашифрованном виде. Для фильтрации трафика использовали сервис HideClick, который скрывает вредоносную страницу от автоматических сканеров и показывает «чистый» контент проверяющим. Схожий приём с сокрытием от ботов применялся и в операции PhantomCaptcha , где злоумышленники маскировали вредоносные страницы за поддельными капчами Cloudflare.
Фишинговые кампании против пользователей менеджеров паролей выходят на новый уровень. С сентября 2025 года злоумышленники последовательно развивают набор инструментов под названием 1Phish, нацеленный на клиентов сервиса 1Password. За несколько месяцев примитивная страница для сбора логина и пароля превратилась в многоэтапную платформу с поддержкой двухфакторной аутентификации, защитой от анализа и сложной серверной логикой.
Первые атаки специалисты из Datadog Security Labs зафиксировали осенью 2025 года. Пользователям 1Password рассылали письма о «взломе» учётной записи и предлагали срочно «проверить» данные. Ссылки вели на домены с опечатками, маскирующиеся под официальный сайт. Ранние версии набора представляли собой простую HTML-форму объёмом около 250 строк кода, которая отправляла введённые адрес электронной почты, секретный ключ и пароль на сервер злоумышленников. Поддержки одноразовых кодов тогда не было.
К концу 2025 года структура усложнилась. В код добавили проверку полей на стороне клиента, имитацию сообщений об ошибках и задержки при отправке формы, чтобы страница выглядела убедительнее. Появилась система сбора цифрового отпечатка браузера.
Скрипт анализировал наличие признаков автоматизации, проверял плагины, параметры экрана и видеокарту через WebGL, а затем передавал данные на сервер в зашифрованном виде. Для фильтрации трафика использовали сервис HideClick, который скрывает вредоносную страницу от автоматических сканеров и показывает «чистый» контент проверяющим. Схожий приём с сокрытием от ботов применялся и в операции PhantomCaptcha , где злоумышленники маскировали вредоносные страницы за поддельными капчами Cloudflare.