Шестизначный PIN — и весь Google-аккаунт у злоумышленников. Рассказываем, как работает новая атака VaultJacking
NewsMakerТо, что в «корпорации добра» называют защитой, хакеры считают главным «подарком судьбы».
Один короткий PIN-код может превратить хранилище паролей Google в открытую дверь для злоумышленников. Новая техника фишинга VaultJacking показывает, что даже вход по ключам доступа не спасает, если атакующий добирается не до отдельного сайта, а до механизма синхронизации учётных данных.
По данным специалистов PhishU, атака строится на схеме Adversary-in-the-Middle , когда жертву переводят на поддельную, но правдоподобную страницу входа Google. Во время такой сессии злоумышленники перехватывают логин, пароль, cookie-файлы сеанса и шестизначный PIN Google Password Manager.
Именно PIN становится главным звеном атаки. Получив код, атакующие могут добавить своё устройство в список доверенных устройств учётной записи Google. После подключения система выдаёт секретный ключ доверенной области. С помощью этого ключа злоумышленники могут расшифровать сохранённые пароли и данные ключей доступа ( passkeys ).
В отличие от обычного фишинга, где преступники крадут доступ к одному сервису, VaultJacking даёт шанс выгрузить всё синхронизированное хранилище сразу. Под угрозой оказываются почта, банковские кабинеты, корпоративные системы и криптовалютные платформы, если данные от них сохранены в аккаунте Google.
PhishU утверждает, что схема работает и против аккаунтов, где используются ключи доступа, включая варианты с аппаратной защитой. Сами ключи не ломаются: привязка WebAuthn к домену продолжает защищать вход на конкретные сайты. VaultJacking обходит этот уровень, потому что атакует синхронизацию хранилища, а не процесс авторизации на отдельном ресурсе.
После получения PIN злоумышленники могут зарегистрировать собственный ключ доступа в аккаунте жертвы, войти с его помощью и подключить своё устройство к доверенной области Google через подконтрольную инфраструктуру. При этом жертва видит минимум сигналов: обычно приходят письма о новом входе или добавленном ключе, но без отдельного запроса на подтверждение с доверенного устройства. Если преступники уже контролируют почту, такие уведомления можно скрыть.
Авторы отчёта связывают риск с тем, что Google допускает подключение нового устройства через короткий PIN без обязательного одобрения с уже доверенного устройства. У Apple iCloud Keychain похожий доступ требует явного подтверждения, что снижает ценность перехваченного кода.
Для компаний, использующих Google Workspace, PhishU советует внимательно отслеживать добавление новых устройств и рассматривать такие события как возможный признак взлома. Отдельные рабочие и личные профили Chrome тоже снижают ущерб, если одна учётная запись попадёт под атаку.
Один короткий PIN-код может превратить хранилище паролей Google в открытую дверь для злоумышленников. Новая техника фишинга VaultJacking показывает, что даже вход по ключам доступа не спасает, если атакующий добирается не до отдельного сайта, а до механизма синхронизации учётных данных.
По данным специалистов PhishU, атака строится на схеме Adversary-in-the-Middle , когда жертву переводят на поддельную, но правдоподобную страницу входа Google. Во время такой сессии злоумышленники перехватывают логин, пароль, cookie-файлы сеанса и шестизначный PIN Google Password Manager.
Именно PIN становится главным звеном атаки. Получив код, атакующие могут добавить своё устройство в список доверенных устройств учётной записи Google. После подключения система выдаёт секретный ключ доверенной области. С помощью этого ключа злоумышленники могут расшифровать сохранённые пароли и данные ключей доступа ( passkeys ).
В отличие от обычного фишинга, где преступники крадут доступ к одному сервису, VaultJacking даёт шанс выгрузить всё синхронизированное хранилище сразу. Под угрозой оказываются почта, банковские кабинеты, корпоративные системы и криптовалютные платформы, если данные от них сохранены в аккаунте Google.
PhishU утверждает, что схема работает и против аккаунтов, где используются ключи доступа, включая варианты с аппаратной защитой. Сами ключи не ломаются: привязка WebAuthn к домену продолжает защищать вход на конкретные сайты. VaultJacking обходит этот уровень, потому что атакует синхронизацию хранилища, а не процесс авторизации на отдельном ресурсе.
После получения PIN злоумышленники могут зарегистрировать собственный ключ доступа в аккаунте жертвы, войти с его помощью и подключить своё устройство к доверенной области Google через подконтрольную инфраструктуру. При этом жертва видит минимум сигналов: обычно приходят письма о новом входе или добавленном ключе, но без отдельного запроса на подтверждение с доверенного устройства. Если преступники уже контролируют почту, такие уведомления можно скрыть.
Авторы отчёта связывают риск с тем, что Google допускает подключение нового устройства через короткий PIN без обязательного одобрения с уже доверенного устройства. У Apple iCloud Keychain похожий доступ требует явного подтверждения, что снижает ценность перехваченного кода.
Для компаний, использующих Google Workspace, PhishU советует внимательно отслеживать добавление новых устройств и рассматривать такие события как возможный признак взлома. Отдельные рабочие и личные профили Chrome тоже снижают ущерб, если одна учётная запись попадёт под атаку.