Мне прислали фишинг под MAX. Я разобрал ссылку и нашёл уязвимость в их API
sansmaster 10 минут назад Мне прислали фишинг под MAX. Я разобрал ссылку и нашёл уязвимость в их API Уровень сложности Средний Время на прочтение 14 мин Охват и читатели 240 Информационная безопасность * Сетевые...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. sansmaster 10 минут назад Мне прислали фишинг под MAX. Я разобрал ссылку и нашёл уязвимость в их API Уровень сложности Средний Время на прочтение 14 мин Охват и читатели 240 Информационная безопасность * Сетевые технологии * Системное администрирование * Реверс-инжиниринг * Кейс «Мне тут такое фото отправили… не ты на снимках? » Сообщение пришло поздно вечером, в обычной переписке, от знакомого, который пишет редко.
К тексту приложена короткая ссылка — clk1. Несколько секунд я смотрел на экран, прокручивая в голове два варианта. Первый — что ему действительно скинули какое-то фото, на котором ему почудился я, и он, не разбираясь, переслал.
Технические детали
Так бывает, особенно если человек сам не из тех, кто фильтрует входящие. Второй — что у него увели аккаунт, и теперь от его имени какой-то фишер бомбит ту же приманку всем его контактам, включая меня. Так бывает гораздо чаще.
В пользу второго говорило сразу несколько мелочей. Сообщение было не его обычным стилем — он многоточия не ставит. Время странное — три ночи.
И главное: он за два года ни разу не присылал мне ссылок без подписи, какой-нибудь «глянь как круто», «оцени». А тут — голая короткая URL, и вопрос, который, если вдуматься, специально провоцирует ткнуть. «Не ты ли на снимках» — это же мгновенный hook, ты не сможешь этого не открыть, только чтобы развеять сомнение.
Отраслевые последствия
Я набрал его в другом мессенджере, спросил, отправлял ли что-то такое. Так я остался один на один со ссылкой и вечером, который внезапно освободился. Открывать на основном устройстве — нет, разумеется.
Но что внутри — стало любопытно. Так начинается история, в которой одна короткая ссылка раскручивается в инфраструктуру из 179 фишинговых доменов; оператор за пять дней мигрирует через четырёх хостеров; фишинг-кит оказывается не банальным сборщиком паролей, а MITM-прокси к настоящему API мессенджера MAX ; и сам MAX, получив подробный отчёт об уязвимости, молчит уже неделю. Что внутри коробки В первой комнате тёмного дома по сценарию должен лежать знакомый интерфейс.
Я взял ссылку и положил её в app. run — это интерактивная песочница, бесплатная, без регистрации. Они открывают URL в виртуалке у себя и отдают мне видеозапись того, что показывалось, плюс полный лог HTTP-запросов, DNS-резолвов, скриншоты на каждом шаге.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
