Фишинг под MAX: обнаружен MITM-прокси к реальному API с CVSS 8.8. VK молчит неделю

Российский исследователь безопасности получил фишинговое сообщение от знакомого в обычной переписке — «Не ты ли на фото?» со ссылкой, указывающей на скомпрометированный аккаунт. Вместо стандартного разбора фишинговой схемы аналитик углубился в инфраструктуру атаки и за пять дней обнаружил масштабную операцию: 179 фишинговых доменов, четыре хостинг-провайдера, через которые злоумышленники переезжали ежедневно, и главное — принципиально иной подход к сбору данных.

Фишинг-кит не собирал учётные данные напрямую. Вместо этого он работал как MITM-прокси к настоящему API мессенджера MAX (принадлежит VK). Жертва вводила логин и пароль на поддельной странице, которая перенаправляла запросы к реальному серверу MAX. В результате пользователь получал настоящее SMS-подтверждение от официального сервиса и не мог распознать подмену. Атака полностью обходила двухфакторную аутентификацию через SMS, эксплуатируя доверие к легитимному API.

Уязвимости присвоен CVSS 8.8 — высокий уровень критичности. Исследователь уведомил VK о находке, однако компания не отреагировала в течение недели. Операторы фишинговой схемы продолжают использовать инфраструктуру, которая насчитывает почти две сотни активных доменов. Эксперты предупреждают, что подобный вектор атаки подрывает базовое предположение о защищённости SMS-верификации и может применяться против пользователей других сервисов с аналогичной архитектурой.