ФБР у співпраці з Google та дослідницькою командою Black Lotus Labs ліквідувало «Outsider Enterprise» — китайську платформу «фішинг як послуга» (phishing-as-a-service, PhaaS), яка з липня 2023 року масово розсилала підроблені SMS від імені відомих брендів. За оцінками ФБР, через неї викрали близько 3,87 мільйона даних банківських карток і завдали збитків приблизно на 1,9 мільярда доларів.

Як працював «Outsider Enterprise»

Платформа діяла за моделлю передплати: її оператори продавали через Telegram готові «фішингові набори», за допомогою яких зловмисники розсилали підроблені текстові повідомлення нібито від Google та інших впізнаваних компаній. За даними позову Google, для створення переконливого шахрайського контенту ініціатори загроз застосовували Gemini та інші інструменти ШІ — це перший випадок, коли компанія подала цивільний позов саме через зловживання її власною моделлю.

За оцінками Google, з «Outsider Enterprise» поʼязані щонайменше 9 000 підроблених сайтів і понад мільйон шахрайських URL-адрес. Лише за два тижні травня платформа надіслала користувачам Android близько 2,5 мільйона повідомлень із посиланнями на згенеровані нею сайти; 55 000 із них користувачі позначили як спам — у середньому понад дві скарги щохвилини. Постраждали сотні тисяч людей у щонайменше 54 інших країнах.

Операція Ghost Hook: що вилучило ФБР

Технічну і правову частини операції обʼєднали під кодовою назвою Ghost Hook — це складова ширшої кампанії ФБР під назвою Riptide, спрямованої проти інфраструктури кіберзлочинності. Слідчі вилучили домени адміністративних серверів платформи, вітрину інтернет-магазину на Shopify та обліковий запис, який зловмисники використовували для тестування сервісу, а також близько 100 000 доларів у криптовалюті USDT з платіжних гаманців. Тисячі фішингових доменів, зареєстрованих в американських провайдерів, тепер перенаправляють на службову сторінку ФБР. Крім того, слідство перебрало контроль над Telegram-ботом, через який купували доступ до платформи, і отримало дані про її клієнтів.

За словами помічника директора кіберпідрозділу ФБР Бретта Лезермана, оператори «Outsider Enterprise» збудували бізнес на маскуванні під довірені бренди, а злочинці дедалі частіше застосовують ШІ, щоб зробити шахрайство переконливішим і важчим для виявлення.

Позов Google і боротьба за нові закони

Цивільний позов Google подала 12 червня до федерального суду на Мангеттені. Це вже друга за сім місяців судова справа компанії проти платформ типу PhaaS — попередня стосувалася мережі Lighthouse. Паралельно Google співпрацює з операторами звʼязку AT&T, T-Mobile і Verizon, щоб блокувати шахрайські повідомлення до того, як вони дійдуть до абонентів.

Компанія наполягає, що захист від кібершахрайства має стати постійним, і підтримує сім двопартійних законопроєктів проти онлайн-шахрайства. Серед них — Stop SCAMS Act (H.R. 7215), який зобовʼязує ФБР очолити загальнодержавну стратегію протидії шахрайству, обʼєднавши федеральні відомства, правоохоронців і приватні компанії.

Своїх користувачів Google також захищає вбудованими механізмами на основі ШІ: функція виявлення шахрайства попереджає про підозрілі дзвінки та повідомлення, а захист месенджера блокує понад 10 мільярдів шкідливих повідомлень щомісяця.

Ця стаття ФБР і Google ліквідували китайський фішинговий сервіс, який завдав збитків на 1,9 мільярда доларів раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Google розгортає для пристроїв Android нову функцію безпеки, яка виявляє і позначає телефонні дзвінки, в яких шахраї за допомогою штучного інтелекту видають себе за контакти з адресної книги користувача. Опція під назвою «виявлення підроблених дзвінків» (fake call detection) глобально розгортається цього місяця для пристроїв з Android 12 і новіших версій, починаючи зі смартфонів Pixel, і буде увімкнена за замовчуванням.

Як працює технологія виявлення підроблених дзвінків

Після активації функція працює автоматично, якщо і той, хто телефонує, і одержувач використовують застосунок Phone by Google. Коли контакт здійснює дзвінок, його пристрій у режимі реального часу надсилає на пристрій одержувача беззвучний зашифрований сигнал підтвердження.

Якщо такого сигналу немає (а це може вказувати на підроблений дзвінок), пристрій одержувача замість прийому самостійно надсилає запит на справжній телефон контакту, щоб перевірити автентичність виклику. Якщо пристрій контакту підтверджує, що жодного дзвінка він не здійснює, на екрані одержувача з’являється попередження з порадою негайно покласти слухавку.

«Якщо шахрай намагається видати себе за ваш контакт, цей початковий сигнал підтвердження буде відсутній. Ваш пристрій миттєво це помітить і надішле запит на справжній пристрій контакту для подвійної перевірки. Якщо реальний пристрій повідомляє: ʼЯ зараз не телефонуюʼ, ви отримаєте на екрані попередження з порадою негайно покласти слухавку. Це проактивне сповіщення допомагає в режимі реального часу не стати жертвою deepfake-імперсонації та спуфінгу дзвінків», — йдеться в повідомленні Google.

Які умови потрібні для роботи функції

Нова функція безпеки побудована на основі відкритого стандарту Rich Communication Services (RCS) і працює лише на тих пристроях Android, де встановлено застосунки Phone by Google, Google Contacts і Google Messages з увімкненою підтримкою RCS.

За даними Google, технологія протидіє двом поширеним тактикам шахрайства: підміні номера знайомого контакту (спуфінгу) і одночасному використанню технології клонування голосу на основі штучного інтелекту для імітації голосу цієї людини.

«Роками люди покладалися на ідентифікатор абонента (caller ID), щоб знати, хто на іншому кінці лінії, але цього вже недостатньо через нові тактики шахраїв. Якщо на вашому пристрої використовується інший застосунок, ви можете встановити Phone by Google з Play Store і зробити його основним телефонним застосунком, щоб захистити себе від підроблених дзвінків», — додають у компанії.

Масштаб шахрайства з імітацією знайомих контактів

У квітні 2025 року Федеральна торгова комісія США (FTC) повідомила, що збитки від шахрайства з імперсонацією у 2024 році сягнули $2,95 млрд — це одна з найпоширеніших категорій шахрайства, про яку повідомляли американські споживачі.

У звіті INTERPOL Global Financial Fraud Threat Assessment, опублікованому в березні 2026 року, глобальні збитки від фінансового шахрайства лише за 2025 рік оцінили у $442 млрд. Експерти Інтерполу зараховують фінансове шахрайство до п’яти найсерйозніших глобальних кримінальних загроз і прогнозують подальше зростання його масштабів через здешевлення інструментів на основі штучного інтелекту.

Раніше Google розширив захист на банківські та фінансові застосунки

У грудні Google розширив підтримку функції захисту від шахрайства під час дзвінків у режимі реального часу на низку банків і фінансових застосунків у Сполучених Штатах, зокрема Cash App і мобільний банкінг JPMorganChase.

Ця стаття Google запроважує на Android захист від шахрайських дзвінків з deepfake-голосами раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Браузер — це місце, де відбувається більшість сучасної роботи: пошта, документи, дзвінки, дослідження, написання текстів. За останні два роки Google Chrome обріс десятками розширень на основі штучного інтелекту, які перетворюють вкладку браузера на робочий стіл аналітика, копірайтера й асистента одночасно. Зібрали 12 розширень, які реально економлять час — від ШІ-помічників до інструментів для керування вкладками й завданнями.

Кожне розширення розглядаємо з конкретною задачею, яку воно розв’язує, а також звертаємо увагу на питання приватності: будь-який плагін, який «бачить вміст сторінок», за визначенням має доступ до того, що ви читаєте й пишете. Тому перед встановленням варто оцінювати не лише функції, а й репутацію розробника та обсяг дозволів.

ШІ-помічники для дослідження і написання текстів

Це нова категорія розширень, якої ще два роки тому фактично не існувало. Вони вбудовують у браузер чат із мовною моделлю — і дають змогу запитувати, переказувати та аналізувати будь-яку сторінку без перемикання вкладок.

1. Perplexity — AI Companion

Найкращий ШІ-помічник для дослідження з посиланнями на джерела

Perplexity вирізняється з-поміж інших ШІ-чатів тим, що до кожної відповіді додає посилання на сторінки, з яких узято інформацію. Розширення Perplexity — AI Companion відкриває бічну панель із чатом просто поверх будь-якої сторінки: можна попросити підсумувати довгу статтю, поставити уточнювальне питання до її змісту або провести швидкий факт-чек.

Базовий функціонал — безкоштовний; підписка Perplexity Pro (близько 20 доларів на місяць) відкриває глибший пошук, доступ до старших моделей (GPT, Claude, Gemini) і функцію Deep Research, що збирає звіт із десятків джерел.

Чим корисний редакторам, журналістам і дослідникам: коли треба швидко перевірити твердження зі статті, не вірити «на слово» і отримати придатні до цитування першоджерела.

2. Sider AI або Monica — мультимодельний помічник

Один інтерфейс, кілька найкращих моделей одразу

Якщо вам потрібен універсальний ШІ-помічник, який працює на будь-якій сторінці, варто звернути увагу на Sider AI або Monica AI Assistant. Обидва розширення дають доступ до кількох провідних мовних моделей — ChatGPT, Claude, Gemini, DeepSeek — через одну бічну панель. Можна перемикатися між ними на льоту або порівнювати відповіді.

Серед типових функцій: переказ статті, переклад виділеного фрагмента, переписування тексту в іншому тоні, генерація відповідей на листи, аналіз PDF-документів і навіть YouTube-відео. Безкоштовні тарифи покривають типові щоденні потреби, але мають денні ліміти.

Важливе застереження щодо приватності: будь-яке таке розширення зчитує вміст сторінок, які ви відкриваєте, й передає його на сервери розробника. Не варто вмикати ШІ-помічники на вкладках із внутрішніми документами компанії, банкінгом чи медичною інформацією — для таких сценаріїв краще використовувати корпоративні рішення з підтвердженою політикою конфіденційності.

3. Claude for Chrome — ШІ-агент, що сам клікає за вас

Окрема ліга: не просто чат, а агент, який виконує дії у браузері

На відміну від попередніх двох розширень, Claude for Chrome — це не просто помічник, який відповідає на запитання. Це агент, що може самостійно навігувати сайтами, заповнювати форми, натискати кнопки й виконувати багатоетапні завдання у вашому браузері.

Спершу Anthropic запустила розширення як обмежений дослідницький превʼю в серпні 2025 року, а у грудні 2025-го відкрила доступ для всіх платних користувачів Claude (тарифи Pro і Max). Користувачі безкоштовного тарифу поки не мають доступу. Розширення працює лише в Google Chrome.

Однак саме тут постає головне застереження. Anthropic у своїй документації відкрито попереджає про ризик prompt injection — атаки, коли зловмисний сайт може приховано «віддавати команди» агенту, змушуючи його виконати небажані дії. За результатами внутрішнього red-teamʼу компанії, навіть з усіма захистами рівень успішності таких атак становить близько 11% — це багато. Anthropic офіційно радить не вмикати агента на сайтах із фінансовими, юридичними, медичними даними та іншою чутливою інформацією. Перед кожною важливою дією (купівля, надсилання повідомлення, публікація) Claude питає у користувача підтвердження.

Підсумок: цікавий інструмент для рутинних задач на безпечних сайтах, але поки що не для основної робочої пошти й документів.

Перевірка тексту й допомога з письмом

4. LanguageTool — перевірка граматики, у тому числі української

Безкоштовна альтернатива Grammarly з підтримкою понад 30 мов

Якщо ви пишете українською — це розширення поза конкуренцією. LanguageTool підтримує понад 30 мов, серед них українська посідає одне з найрозвиненіших місць: модуль містить понад 700 правил, охоплюючи граматику, пунктуацію, стилістику, активні дієприкметники, вживання великих і малих літер.

Розширення працює на більшості сайтів, де є поле для введення тексту: у Gmail, Google Docs, WordPress, соцмережах, перекладачах. Помилки підкреслюються прямо під час набору, клік на підкреслене слово відкриває варіанти виправлення.

Базовий тариф — безкоштовний і без потреби реєструватися. Premium-версія (близько 6 доларів на місяць) додає глибшу перевірку стилю, перефразування пропозицій із допомогою ШІ та інтеграцію з Microsoft Word. З точки зору приватності — розробник декларує, що не зберігає IP-адресу й перевіряє тексти через зашифроване зʼєднання, без обовʼязкової реєстрації.

5. Grammarly — для тих, хто багато пише англійською

Класичний інструмент перевірки англійських текстів, тепер із вбудованим ШІ

Для англійських текстів Grammarly залишається стандартом галузі. У 2025–2026 роках Grammarly суттєво еволюціонував: крім традиційної перевірки граматики, з’явилися ШІ-функції генерації й переписування тексту, адаптації під заданий тон, перевірки чіткості та залученості.

Безкоштовний тариф покриває граматику, пунктуацію та базову стилістику; платні плани відкривають розширений тоновий аналіз і ШІ-переписування. Для тих, кому достатньо граматики, безкоштовної версії вистачає для більшості задач. Української мови розширення не підтримує — для текстів українською залишається LanguageTool.

Керування вкладками і пам’яттю браузера

Середньостатистичний користувач Chrome у 2025–2026 роках тримає відкритими понад 10 вкладок одночасно, а активні професіонали — кілька десятків. Кожна з них займає від 50 до 300 мегабайтів оперативної памʼяті. Тут на допомогу приходять інструменти, що допомагають упорядкувати хаос — і кілька важливих оновлень самого Chrome.

6. Memory Saver — вбудована функція Chrome

Перш ніж встановлювати розширення — увімкніть те, що вже є в браузері

З 2023 року Chrome має власну функцію Memory Saver, яка автоматично «заморожує» неактивні вкладки, звільняючи памʼять. Увімкнути її можна в Налаштуваннях → Ефективність → Заощадження пам’яті. Доступні три режими: Помірне, Збалансоване і Максимальне — від консервативного до агресивного звільнення памʼяті.

Заощадження пам’яті працює реактивно: функція починає звільняти памʼять лише тоді, коли система сигналізує про її нестачу. На потужному ноутбуці з 16 ГБ RAM цього зазвичай достатньо. Якщо ви часто тримаєте 30+ вкладок або працюєте на старшому пристрої з 8 ГБ памʼяті — варто додати спеціалізоване розширення.

7. Auto Tab Discard — проактивний менеджер вкладок

Звільняє пам’ять за таймером, не чекаючи, поки система почне гальмувати

На відміну від вбудованого Memory Saver, Auto Tab Discard працює проактивно: він «вивантажує» вкладки після заданого періоду неактивності (наприклад, 5 хвилин), не чекаючи сигналу про нестачу памʼяті. Це особливо корисно на ноутбуках із 8 ГБ RAM і старших процесорах.

Розширення з відкритим кодом, мінімалістичне, підтримує власні правила: можна додати сайти, вкладки яких ніколи не вивантажуються (наприклад, поштовий клієнт або календар). Серед популярних альтернатив — The Great Suspender Reloaded із розширенішими функціями. Класичний The Great Suspender у 2021 році було видалено з магазину Chrome після того, як його придбав інший власник і додав підозрілий код. Тому використовуйте лише сучасні форки з прозорим розробником.

8. OneTab — скласти всі вкладки в один список

Натисніть одну кнопку — і десятки вкладок перетворяться на список посилань

Класичний інструмент для тих, хто збирає вкладки для «прочитати пізніше», а потім забуває їх. OneTab одним кліком згортає всі відкриті вкладки в єдиний список посилань на окремій сторінці. Списки можна групувати, перейменовувати, ділитися ними з колегами або зберігати локально.

За даними розробника, OneTab знижує споживання памʼяті браузером до 95%, оскільки замість десятків процесів вкладок залишається лише одна. Розширення безкоштовне й не вимагає реєстрації; все зберігається локально в браузері.

Завдання, фокус і робота з вебом

9. Todoist for Chrome — швидке захоплення завдань

Перетворює будь-яке посилання чи виділений текст на задачу за два кліки

Todoist — один із найпопулярніших менеджерів задач, а його розширення для Chrome вирішує конкретну проблему: як зафіксувати ідею в момент, коли вона зʼявилася, не відкриваючи окремий застосунок.

Виділіть фрагмент сторінки — і додайте його як задачу. Або натисніть на іконку розширення й створіть пункт зі звичною мовою: «надіслати звіт завтра о 14:00» — Todoist розпізнає дату й час автоматично. Працює зі звичними клавіатурними скороченнями та інтегрується з Gmail, Google Calendar і десятками інших сервісів.

10. StayFocusd — блокувальник соцмереж і дистракторів

Просте розширення, яке обмежує час на сайтах, що крадуть концентрацію

Класичний StayFocusd дозволяє задати денний ліміт часу для конкретних сайтів — Facebook, YouTube, Reddit чи будь-яких інших. Коли ліміт вичерпано, сайт блокується до наступної доби.

Серед корисних функцій: «ядерна опція» (Nuclear Option), що блокує сайти на заданий період без можливості скасування, а також налаштування виключень для робочих годин. Розширення не споживає ресурсів і не передає даних — усі правила зберігаються локально. Альтернативи з ширшим функціоналом — Freedom і Cold Turkey, але вони працюють як окремі застосунки.

11. Save to Google Drive — швидке збереження сторінок і скриншотів

Офіційне розширення Google для збереження вмісту у хмарне сховище одним кліком

Розширення Save to Google Drive від самої Google встановлюється просто й вирішує конкретну задачу: зберегти будь-яку сторінку, зображення або скриншот у Google Drive одним кліком. Без хмари посередників, без сторонніх серверів.

Підтримує збереження як PDF, HTML, MHT-архіву або скриншоту цілої сторінки чи її видимої частини. Корисно для журналістів і дослідників, які потребують зафіксувати поточний стан сторінки для подальшого цитування — особливо там, де вміст може зникнути або змінитися.

12. Loom — швидкі відеоповідомлення замість довгих листів

Запис екрана й камери в одне посилання, яким можна поділитися за секунди

Останнє розширення з нашого списку — для команд і фрилансерів, які працюють віддалено. Loom дозволяє записати екран, камеру або обидва джерела одночасно — і поділитися результатом через посилання. Замість листа на пів години можна записати дво-трихвилинне відео з поясненням.

Безкоштовний тариф дає до 25 коротких відео; платний (близько 12,5 долара на місяць) знімає обмеження й додає аналітику переглядів, монтаж і автоматичні транскрипти. Хоча Loom — не власне ШІ-інструмент, він активно використовує ШІ для генерації заголовків, підсумків і навіть автоматичного видалення пауз і слів-паразитів.

Кілька правил перед встановленням

Розширення браузера — це повноцінні програми, які зазвичай мають доступ до всіх сторінок, які ви відкриваєте. Кілька принципів, яких варто дотримуватися:

• Перевіряйте розробника. У Chrome Web Store у картці кожного розширення вказано видавця. Перевага — за офіційними продуктами компаній (Google, Anthropic, Grammarly, Loom) та проєктам із відкритим кодом і прозорою репутацією.
• Уважно читайте дозволи. Якщо інструмент для перевірки граматики просить дозвіл «змінювати дані на всіх сайтах», це нормально. Якщо такий самий дозвіл просить плагін, який мав би показувати погоду — це привід насторожитися.
• Не накопичуйте. Розумна кількість активних розширень — 8–12. Кожне додаткове розширення споживає памʼять і потенційно сповільнює браузер. Регулярно ревізуйте список і видаляйте те, що не використовуєте.
• Будьте обережні з ШІ-розширеннями на чутливих сторінках. Корпоративна пошта, банкінг, медичні дані, юридичні документи — на цих вкладках ШІ-помічники краще вимикати. Розширення може передати вміст сторінки на свої сервери.
• Стежте за зміною власника. Якщо популярне розширення продано — це не завжди погано (як у випадку з LanguageTool), але іноді нові власники змінюють політику конфіденційності або додають небажаний код. Класичний приклад — історія The Great Suspender у 2021 році.

Гарне розширення — це те, без якого через тиждень тестування ви вже не уявляєте свого робочого процесу. Решту краще вимкнути. Браузер, перевантажений плагінами, гальмує — і це знецінює саму ідею «полегшити життя».

Ця стаття 12 розширень для Google Chrome: продуктивність і ШІ у вашому браузері раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Дослідники безпеки зафіксували активну кампанію зловмисної реклами (malvertising), яка поєднує платні оголошення у Google і функцію публічних чатів Claude.ai. Користувачі, які шукають додаток Claude для macOS, ризикують встановити інфостилер MacSync — посилання в рекламі веде на справжній домен claude.ai, а шкідливі інструкції приховані всередині самого чату.

Кампанію виявив Берк Альбайрак — інженер з безпеки компанії Trendyol Group, який оприлюднив свої знахідки у LinkedIn 9–10 травня 2026 року. Незалежно інциденти підтвердило видання BleepingComputer, виявивши другий варіант атаки з повністю окремою інфраструктурою.

Як працює атака

Користувач, що шукає в Google запит на кшталт «Claude mac download», бачить угорі сторінки спонсороване оголошення. Унікальність цієї схеми в тому, що цільова URL-адреса справді веде на claude.ai — офіційний домен компанії Anthropic. Жодного фейкового або схожого за написанням ресурсу немає.

Після переходу жертва опиняється на сторінці спільного чату Claude, оформленого як офіційна інструкція «Claude Code on Mac» нібито від «Apple Support». Сторінка покроково просить відкрити Terminal і вставити команду, яка тихо завантажує та запускає шкідливе ПЗ.

На момент дослідження обидва шкідливі чати залишалися загальнодоступними.

Що робить шкідливе ПЗ

Команда, яку користувач копіює в Terminal, декодує закодований у base64 рядок і завантажує shell-скрипт із серверів зловмисників. У зафіксованих BleepingComputer варіантах це були домени customroofingcontractors[.]com та bernasibutuwqu2[.]com.

Файл loader.sh — це стиснутий gzip-ом shell-скрипт, який виконується повністю в оперативній памʼяті, практично не залишаючи слідів на диску. Сервер віддає унікально обфусковану версію корисного навантаження на кожен запит (так звана поліморфна доставка) — це ускладнює виявлення антивірусами за хешем або сигнатурою.

Один із варіантів демонструє вибірковий підхід до жертв. Скрипт спершу перевіряє, чи налаштовані в системі розкладки клавіатури російська або країн СНД. Якщо так — він мовчки завершує роботу, надіславши на сервер атакувальника статус cis_blocked. Машини, що пройшли перевірку, переходять до наступного етапу.

Перед запуском корисного навантаження скрипт також збирає й відправляє зловмисникам:

• зовнішню IP-адресу;
• імʼя хоста;
• версію операційної системи;
• локаль клавіатури.

Це профілювання жертв перед доставкою корисного навантаження свідчить, що оператори ретельно відбирають мішені. Другий етап атаки запускається через osascript — вбудований у macOS рушій сценаріїв. Завдяки цьому зловмисники отримують віддалене виконання коду без створення традиційного застосунку чи бінарного файлу.

Варіант, виявлений Альбайраком, пропускає крок профілювання та одразу переходить до виконання. Він викрадає облікові дані з браузерів, файли cookie та вміст macOS Keychain, пакує їх і надсилає на сервер атакувальника. Дослідник ідентифікував цей зразок як різновид інфостилера MacSync.

Чому ця кампанія особливо небезпечна

Зловмисна реклама вже давно стала звичним каналом доставки шкідливого ПЗ. У типових випадках хакери реєструють схожий за написанням домен і маскують його під легітимний — наприклад, у кампаніях проти користувачів GIMP зловмисники використовували переконливі лендинги-двійники.

Поточна схема ламає цей шаблон. Фейкового домену, який можна помітити, просто немає — оголошення у Google ведуть на справжній claude.ai, а шкідливі інструкції розміщені всередині рідної функції публічних чатів Claude. URL у рекламі — справжній, а саме воно зазвичай і є першим запобіжником для уважного користувача.

Це не перший випадок зловживання функцією публічних чатів AI-платформ. У грудні 2025 року BleepingComputer повідомляв про аналогічну кампанію проти користувачів ChatGPT і Grok. Раніше цього року ініціатори загроз провели подібну атаку проти macOS-розробників, які шукали менеджер пакетів Homebrew. Цільова аудиторія кампанії проти Claude значно ширша: до групи ризику потрапляють нетехнічні користувачі, які просто цікавляться ШІ й менш схильні аналізувати команду в терміналі перед її виконанням.

Як захиститися

Дослідники рекомендують дотримуватися кількох простих правил:

• Завантажуйте Claude лише з офіційного сайту ai, вводячи адресу в браузер вручну, а не через спонсоровані результати пошуку.
• Офіційний Claude Code CLI встановлюється через документацію Anthropic і ніколи не вимагає копіювати команди з чату.
• Ставтеся з підозрою до будь-яких інструкцій, які пропонують вставити команду в Terminal — незалежно від того, звідки вони, на перший погляд, надходять.
• Перевіряйте source застосунків. Поточна кампанія орієнтована на macOS, але аналогічні схеми (наприклад, через PowerShell) існують і для Windows.
• Перш ніж натискати на рекламний результат у пошуковій видачі, прокрутіть до перших органічних посилань — це позбавляє ризику потрапити на оплачене зловмисниками оголошення.

BleepingComputer звернувся за коментарями до Anthropic і Google перед публікацією матеріалу. На момент виходу статті жодна з компаній не зробила публічної заяви щодо зловживань функцією спільних чатів і розміщенням реклами.

Перевірити власні онлайн-сервіси та облікові записи на наявність витоків або вразливостей можна за допомогою сканера безпеки cybercalm.org.

Ця стаття Зловмисники використовують Google Ads і чати Claude, щоб поширювати шкідливе ПЗ для Mac раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Google знає про вас більше, ніж ви думаєте: пошукові запити, маршрути, переглянуті відео, надиктовані запитання голосовому помічнику й тепер ще й діалоги з Gemini. Більшість цих даних можна обмежити або взагалі заборонити збирати — за умови, що ви знаєте, де шукати потрібні перемикачі. Розповідаємо, які налаштування варто перевірити в обліковому записі Google просто зараз.

За останні роки Google помітно змінив підхід до конфіденційності: для нових користувачів автовидалення активності тепер увімкнене за замовчуванням, історія місцезнаходжень переїхала з хмари на пристрій, а в пошуку зʼявився інструмент видалення особистих даних. Водночас компанія додала нові категорії збору — зокрема ваші розмови з ШІ-помічником Gemini, який отримує доступ до Gmail, Календаря, Карт і навіть повідомлень на смартфоні.

Ми зібрали сім налаштувань, які варто переглянути в обліковому записі Google, щоб залишити сервіси корисними, але повернути собі контроль над даними. Усі описані опції доступні на сторінці myaccount.google.com у розділі «Дані й конфіденційність».

1. Історія додатків і вебпошуку: автовидалення замість безстрокового зберігання

Це найширша категорія збору даних. Якщо параметр «Історія додатків і вебпошуку» (Web & App Activity) увімкнено, Google зберігає ваші пошукові запити в Google і Chrome, перелік відвіданих сайтів, історію використання Android-додатків, голосові запити до Асистента й Google TV, а також активність у Google Play. У переважній більшості випадків цих даних достатньо, щоб скласти точний портрет ваших звичок, інтересів і робочого розкладу.

На сторінці myactivity.google.com можна вручну видалити будь-який запис або всю історію за конкретний період. Але цікавіша опція — автоматичне видалення. Зайдіть у «Дані й конфіденційність» → «Історія додатків і вебпошуку» → «Автоматичне видалення» та оберіть один із трьох варіантів: 3, 18 або 36 місяців. Усе старше за встановлений термін буде видалено без вашої участі. Альтернатива — повністю вимкнути збір історії: персоналізація стане слабшою, але цифровий слід суттєво зменшиться.

Окремо варто знати: інформація про загальне місцеперебування пристрою та IP-адреса видаляються з історії в Інтернеті та додатках уже через 30 днів — незалежно від обраного вами терміну.

2. Хронологія Google Карт: тепер на пристрої, а не в хмарі

У 2024 році Google провів масштабну реформу історії місцезнаходжень. Раніше вона зберігалася в хмарі та називалася Location History — компанія мала змогу видавати її правоохоронним органам за судовим ордером, що спричиняло публічні скандали. Тепер ця функція називається «Хронологія» (Timeline) і за замовчуванням зберігається безпосередньо на смартфоні.

Що це означає на практиці. Веб-версія хронології за адресою timeline.google.com більше не працює. Подивитися свої маршрути можна лише в мобільному застосунку Google Карти — натиснувши на аватарку профілю та обравши «Ваша хронологія». Дані з різних пристроїв між собою більше не синхронізуються: те, що ви бачили на телефоні, не зʼявиться на планшеті. Якщо ви зміните смартфон і не ввімкнете резервне копіювання, історія залишиться на старому пристрої.

Стандартний термін автовидалення хронології Google зменшив із 18 до 3 місяців. Якщо ви хочете зберегти давніші маршрути — увімкніть резервне копіювання у налаштуваннях хронології (іконка хмари у верхньому правому кутку). Дані будуть передаватися на сервери Google у зашифрованому вигляді. Якщо ж зберігати маршрути в принципі не потрібно, цей перемикач можна повністю вимкнути.

3. Історія YouTube: між зручністю та профайлингом

YouTube запамʼятовує два типи активності: переглянуті відео та пошукові запити. Перше живить рекомендаційну стрічку, друге — підказки в рядку пошуку. Якщо рекомендації здаються вам занадто прицільними або повторюваними, історію можна частково або повністю очистити.

У налаштуваннях облікового запису Google в розділі «Історія YouTube» доступні ті самі опції автовидалення — 3, 18 або 36 місяців, — а також тимчасова пауза.

Окремо варто памʼятати, що YouTube — це не лише відеосервіс, а й повноцінна соціальна мережа. Інші користувачі можуть бачити ваші підписки, лайки та відкриті плейлисти. Налаштування приватності каналу знаходяться в самому YouTube: «Налаштування» → «Конфіденційність».

4. Персоналізація реклами: повністю вимкнути не вийде, але можна обмежити

Реклама була і залишається основним джерелом доходу Google, тож повністю позбутися її через налаштування облікового запису неможливо. Що можна зробити — вимкнути персоналізацію. Тоді обʼявлення показуватимуться випадкові, а не підібрані під вашу історію пошуку, локацію та інтереси.

Перейдіть у «Дані й конфіденційність» → «Мій центр реклами» та переведіть перемикач «Персоналізована реклама» у положення «Вимкнено». Поряд побачите перелік тематик, які Google прописав вам як інтереси: можете видалити окремі категорії або скинути профіль повністю. Для радикального обмеження реклами використовуйте сторонні блокувальники в браузері — uBlock Origin для Firefox і Chromium-браузерів залишається стандартом.

Окремо зверніть увагу на ініціативу Privacy Sandbox — заміну сторонніх cookies, яку Google поступово впроваджує в Chrome. Її налаштування доступні у самому браузері: «Налаштування» → «Конфіденційність та безпека» → «Реклама». Там можна відключити теми оголошень і взаємодію зі сторонніми сайтами.

5. Активність у Gemini: окрема категорія, про яку часто забувають

Якщо ви користуєтеся ШІ-помічником Gemini — у застосунку, у вебі або через інтеграцію в Android, Gmail, Документи чи Карти, — ваші діалоги формують ще один масив даних. За замовчуванням він зберігається 18 місяців і використовується для покращення моделей Google.

Налаштування знаходяться на сторінці gemini.google.com → меню → «Активність» (або myactivity.google.com/product/gemini). Доступні три варіанти автовидалення — 3, 18 та 36 місяців — або повне вимкнення збору. Якщо ви ввімкнете опцію «Тимчасовий чат», конкретна розмова взагалі не потрапить ні в історію, ні в навчальні дані. Це зручний варіант для одноразових запитів із чутливою інформацією.

Окрема історія — підключені до Gemini додатки. З липня 2025 року Google розширив доступ ШІ-помічника до Phone, Messages, WhatsApp і системних утиліт на Android — причому навіть тоді, коли збір активності вимкнено. Перевірити та відключити інтеграції можна у Gemini → «Налаштування» → «Підключені додатки». Якщо ви не плануєте делегувати помічнику дзвінки, повідомлення та керування домашніми пристроями, краще вимкнути все, чим не користуєтеся.

6. Інформація про вас у пошуку Google: інструмент Results about you

У 2023 році Google запустив сервіс під назвою Results about you («Результати про вас»), який дає змогу знаходити та просити видалити з пошукової видачі сторінки з вашими персональними даними — телефонним номером, домашньою адресою чи електронною поштою. У лютому 2026 року функціонал розширили: тепер можна заявляти на видалення також результатів із номерами державних документів — паспорта, посвідчення водія, ідентифікаційного коду.

Доступ до інструмента — на сторінці myactivity.google.com/results-about-you або через застосунок Google: натисніть на аватарку профілю та оберіть «Результати про вас». Після першого налаштування Google буде регулярно сканувати індекс і повідомляти, якщо ваші дані зʼявляться в нових результатах. Можна одразу подати заявку на видалення — типово вона розглядається протягом кількох днів.

Важливо розуміти обмеження: видалення з Google Пошуку не означає, що інформація зникає з самого вебсайту, де її опубліковано. Якщо це сайт-агрегатор персональних даних чи стара сторінка форуму, її доведеться видаляти через адміністрацію ресурсу окремо. Функція також не працює з матеріалами, які становлять суспільний інтерес — публікаціями ЗМІ, державними реєстрами тощо.

7. Видимість профілю та інформація, яку бачать інші

Навіть якщо ви ніколи не користувалися Google+ і не публікували нічого від свого імені, ваш профіль Google залишається публічним об’єктом. Інші користувачі можуть бачити ваше імʼя, фото і — в деяких сценаріях — дату народження. У розділі «Люди й доступ» облікового запису можна налаштувати, які саме поля видимі публічно, які лише для контактів, а які — приховані повністю.

Окремо варто перевірити параметр «Рекомендації друзів в оголошеннях»: коли він увімкнений, ваші відгуки на Google Картах і в Play Маркеті можуть зʼявлятися в рекламних оголошеннях для ваших знайомих. За замовчуванням опція вимкнена, але після оновлень акаунту її стан інколи скидається — варто перевірити вручну.

Що ще варто памʼятати

Перегляд налаштувань конфіденційності — не разова дія. Інтерфейс облікового запису Google регулярно змінюється, додаються нові категорії даних (як це сталося з Gemini), а старі перемикачі іноді скидаються після великих оновлень політики. Раз на пів року варто заходити в розділ «Перевірка конфіденційності» (Privacy Checkup) на сторінці myaccount.google.com — це покрокова перевірка ключових опцій з рекомендаціями.

Якщо ви не авторизуєтеся в сервісах Google, але користуєтеся Chrome, частина даних усе одно збирається — на основі файлів cookie браузера. У такому разі додатково перегляньте налаштування «Конфіденційність і безпека» в самому браузері. А для користування Картами без облікового запису підійде режим інкогніто — він доступний у мобільному застосунку.

І останнє: видалення даних із сервісів Google не видаляє їх із вашого браузера. Якщо в Chrome ви очистили історію через myactivity.google.com, дублікат міг залишитися в локальній історії браузера — її потрібно очищати окремо через «Налаштування» → «Конфіденційність і безпека» → «Очистити дані перегляду».

Ця стаття Конфіденційність у сервісах Google: 7 ключових налаштувань, які варто перевірити раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Google відкрила доступ до десктопного застосунку для Windows усім користувачам. Програма дозволяє миттєво викликати пошук, Gemini та Lens поверх будь-якого вікна, а також підключається до Gmail, Drive і Photos — без переходу у браузер.

Що це за застосунок і як він працює

Минулої осені Google запустила експериментальну версію десктопного застосунку для Windows. Тоді він позиціонувався як інструмент для підвищення продуктивності. Тепер програма доступна всім без винятку.

Принцип роботи простий: поєднання клавіш Alt+Пробіл викликає спливаюче вікно — «бульбашку» — поверх поточного застосунку. Писати можна одразу, без додаткового кліку. Це швидше, ніж відкривати браузер або новий ярлик.

За своєю суттю застосунок — це зручний інтерфейс до вже наявних сервісів Google: пошуку, Gemini та Lens. Нових функцій він не додає, але суттєво прискорює доступ до них.

Що вміє застосунок: пошук у Gmail, Drive і Photos

Головна перевага — інтеграція з екосистемою Google. Застосунок підключається до Gmail, Drive, Photos та інших сервісів і дає змогу шукати інформацію у них природною мовою.

Наприклад, запит «Коли я дивився матч, де були мої місця?» отримує відповідь із конкретним сектором, рядом і номером місця — дані беруться з підтверджувального листа в поштовій скринці. Запит про шкільний захід дає точну дату, час і місце, а також підтверджує, чи відповіли на запрошення. Застосунок знаходить інформацію не лише в тілі листів, а й у прикріплених PDF-файлах.

Функція Lens дозволяє виділити будь-яку ділянку екрана і виконати з нею кілька дій:

• скопіювати текст із зображення;
• знайти схожі зображення або товар у продажу;
• задати запитання на основі того, що відображається на екрані.

Режим демонстрації екрана дозволяє показати застосунку відкриту сторінку і попросити пояснення. Наприклад, під час допомоги дитині з математичним завданням можна запитати, як розвʼязати задачу, — і отримати підказку без готової відповіді.

Інтеграція з Photos також працює: запит «Знайди мої останні фото з двоюрідним братом» — і застосунок повертає знімки з особою, яку розпізнано у колекції Google Photos.

Є й пошук файлів на комп’ютері: якщо відомо ім’я файлу, застосунок покаже, де він знаходиться.

Де застосунок поки що дає збої

Як і більшість інструментів на основі ШІ, застосунок іноді помиляється. Нечіткі або надто загальні запити можуть призводити до хибних результатів або галюцинацій: замість потрібного документа застосунок може запропонувати схожий за темою, але інший файл. Чіткіше формулювання вирішує проблему.

Пошук файлів за описом (наприклад, «щойно завантажений PDF» або «бланк дозволу для екскурсії») поки не підтримується — лише за точною назвою.

Безпека та конфіденційність: що потрібно знати перед встановленням

Застосунок запитує низку дозволів, про які варто знати заздалегідь. При першому запуску функції Lens або демонстрації екрана система запитує дозвіл на захоплення екрана. Важливо розуміти, що саме передається на сервери Google, а що залишається локально.

Згідно з офіційною документацією Google:

• Локальні файли: застосунок будує індекс файлів безпосередньо на пристрої користувача і не надсилає його на сервери Google.
• Lens-запити: на сервери Google надсилається лише та ділянка екрана, яку користувач виділив вручну. Фонові процеси, вміст буфера обміну та інші вікна не передаються.
• Пошукові запити: якщо користувач авторизований у Google-акаунті, всі пошукові запити прив’язуються до цього акаунту — так само як і під час пошуку через браузер. Без авторизації запити анонімізуються.

Таким чином, з точки зору передачі даних застосунок не вводить нових ризиків порівняно з використанням Google Пошуку у Chrome. Однак варто враховувати кілька практичних аспектів.

По-перше, застосунок постійно працює у фоновому режимі — він відображається у системному треї та запускається при старті Windows. Це означає, що він має постійний доступ до облікового запису Google і може реагувати на системний ярлик Alt+Пробіл у будь-який момент. Для корпоративних пристроїв або спільних комп’ютерів це може бути небажаним.

По-друге, функція демонстрації екрана потребує уваги: перед її активацією користувач сам обирає, яке вікно або весь екран показати застосунку. Проте аналітики видання Cloudorian зазначають, що точний маршрут обробки знімків екрана для десктопної версії Lens задокументований Google не повністю — на відміну від мобільної версії.

По-третє, інтеграція з Gmail і Drive розширює поверхню доступу: якщо обліковий запис Google буде скомпрометований (через фішинг, витік пароля або атаку на сесію), зловмисник отримає доступ не лише до пошти, а й до листування, документів і фото, які застосунок здатний знаходити та показувати за запитом.

Практичні поради: як знизити ризики

• Увімкніть двофакторну автентифікацію для Google-акаунту, якщо ще не зробили цього. За наявності доступу до пошти, Drive і Photos через цей застосунок компрометація пароля матиме серйозніші наслідки.
• Перевірте, які застосунки мають доступ до вашого акаунту: myaccount.google.com → «Безпека» → «Застосунки з доступом до акаунту». Там же можна відкликати зайві дозволи.
• Керуйте пошуковою активністю: у розділі «Моя активність» (myactivity.google.com) можна переглянути або видалити запити, зроблені через застосунок.
• На корпоративному або спільному комп’ютері встановлення застосунку не рекомендується: він зберігає авторизований сеанс і доступний будь-якому, хто відкриє ноутбук.
• Якщо конфіденційність є пріоритетом, застосунок можна використовувати без входу в акаунт — у цьому режимі доступний лише базовий веб-пошук, а дані акаунту не залучаються.

Висновок: чи варто завантажувати

Десктопний застосунок Google не розширює функціональність наявних сервісів, але значно прискорює доступ до них. Поєднання Alt+Пробіл економить час навіть як звичайний пошук — без запуску браузера. Інтеграція з Gmail, Drive і Photos додає практичну цінність для тих, хто активно використовує екосистему Google.

З точки зору конфіденційності застосунок не створює принципово нових ризиків порівняно з браузерним Google — але він завжди активний у фоні, а його інтеграція з акаунтом підвищує ціну можливої компрометації. Тож перед встановленням варто переконатися, що акаунт Google захищений двофакторною автентифікацією.

Завантажити застосунок можна безкоштовно на офіційному сайті Google.

Ця стаття Google випустила десктопний застосунок для Windows: як він змінює роботу з пошуком і особистими даними раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

У офіційному Chrome Web Store виявлено понад 100 шкідливих розширень, які викрадають токени автентифікації Google, встановлюють бекдори та здійснюють рекламне шахрайство. Попри те, що компанію Google вже повідомили про проблему, більшість розширень на момент публікації залишаються доступними для завантаження.

Скоординована кампанія під виглядом корисних інструментів

Дослідники компанії Socket, що спеціалізується на безпеці застосунків, встановили, що шкідливі розширення є частиною скоординованої кампанії — всі вони використовують спільну командно-контрольну інфраструктуру (C2). Зловмисники опублікували розширення від імені п’яти різних видавців у кількох категоріях: клієнти бічної панелі Telegram, ігрові автомати та ігри Keno, інструменти для покращення YouTube і TikTok, перекладач тексту, а також різноманітні утиліти.

Кампанія використовує центральний бекенд, розміщений на VPS-сервері Contabo, з кількома піддоменами, які відповідають за перехоплення сесій, збір даних, виконання команд і монетизацію. Дослідники знайшли в коді коментарі, що вказують на російське походження операції та свідчать про модель «шкідливе ПЗ як послуга» (malware-as-a-service, MaaS).

Що саме роблять шкідливі розширення

Дослідники виділили кілька груп розширень залежно від методу атаки:

• 78 розширень впроваджують HTML-код, підконтрольний зловмисникам, безпосередньо в інтерфейс браузера через властивість innerHTML.
• 54 розширення збирають електронну адресу, ім’я, фото профілю та ідентифікатор облікового запису Google жертви, а також викрадають токен Google OAuth2 Bearer — короткочасний токен доступу, що дозволяє застосункам отримувати дані користувача або діяти від його імені.
• 45 розширень містять приховану функцію, яка запускається при старті браузера без будь-якої взаємодії з боку користувача, фактично виконуючи роль бекдора: вона отримує команди від C2 та може відкривати довільні URL-адреси.

Найнебезпечніше розширення — крадіжка сесій Telegram

Окремим випадком дослідники Socket назвали розширення, яке кожні 15 секунд викрадає сесії Telegram Web. Воно витягує дані сесії з localStorage браузера та сесійний токен Telegram Web і надсилає їх на C2-сервер.

«Розширення також обробляє вхідне повідомлення set_session_changed, яке виконує зворотну операцію: очищає localStorage жертви, перезаписує його даними сесії від зловмисника і примусово перезавантажує Telegram», — пояснюють у Socket.

Це дозволяє оператору непомітно підмінити обліковий запис Telegram у браузері будь-якої жертви.

Крім того, виявлено три розширення, які вимикають заголовки безпеки та впроваджують рекламу на YouTube і TikTok, одне, що перенаправляє запити перекладу через шкідливий сервер, а також неактивне розширення для крадіжки сесій Telegram із поетапною інфраструктурою.

Google повідомлено, але розширення досі доступні

Компанія Socket повідомила Google про виявлену кампанію, однак попередила, що всі шкідливі розширення на момент публікації звіту залишаються в Chrome Web Store. Видання BleepingComputer підтвердило доступність більшості з них. Google не відповіла на запити щодо коментаря.

Що варто зробити

Фахівці Socket рекомендують власникам браузера Chrome перевірити список встановлених розширень, порівнявши їхні ідентифікатори з переліком, опублікованим у звіті Socket. У разі збігу — видалити відповідні розширення негайно.

Ця стаття Понад 100 шкідливих розширень Chrome крадуть акаунти Google та Telegram раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Дослідники з кібербезпеки розкрили нову схему рекламного шахрайства, яка поєднує отруєння пошукової видачі (SEO poisoning) та ШІ-генерований контент для просування оманливих новин через стрічку Google Discover. Кінцевою метою кампанії є змусити користувачів підписатися на push-сповіщення зі scareware та фінансовими шахрайствами.

Масштаб та цілі кампанії

Операцію, що отримала назву Pushpaganda, виявила команда Satori Threat Intelligence and Research Team компанії HUMAN. Схема спрямована насамперед на персоналізовані стрічки контенту користувачів Android та Chrome. На піку активності за семиденний період дослідники зафіксували близько 240 мільйонів запитів на ставки (bid requests), пов’язаних із 113 доменами кампанії. Спочатку атаки фіксувалися переважно в Індії, проте згодом операція поширилася на США, Австралію, Канаду, Південну Африку та Велику Британію.

Механізм атаки

Схема побудована на залученні користувачів через Google Discover до підроблених новинних матеріалів, наповнених ШІ-генерованим контентом. Потрапивши на підконтрольний зловмисникам домен, відвідувач отримує пропозицію дозволити push-сповіщення — і після згоди починає отримувати фіктивні юридичні погрози та шахрайські повідомлення. При кліці на такі сповіщення користувач потрапляє на додаткові сайти зловмисників, де вбудована реклама приносить шахраям незаконний дохід.

«Ця операція генерує недійсний органічний трафік із реальних мобільних пристроїв, обманюючи користувачів і змушуючи їх підписуватися на сповіщення, які містять тривожні повідомлення», — йдеться у звіті дослідників Louisa Abel, Vikas Parthasarathy, João Santos та Adam Sell.

ШІ як зброя для маніпуляцій

Гавін Рід (Gavin Reid), директор з інформаційної безпеки HUMAN, зазначив, що знахідки демонструють, як зловмисники використовують ШІ для захоплення довірених платформ виявлення контенту та перетворення їх на інструменти поширення скерлякерів, діпфейків і фінансових шахрайств. Google вже випустила виправлення для усунення проблеми зі спамом.

Варто зауважити, що це не перший випадок, коли зловмисники застосовують push-сповіщення для перенаправлення на підозрілі сайти. У вересні 2025 року компанія Infoblox описала загрозливого актора Vane Viper, який систематично зловживав push-сповіщеннями для показу реклами та проведення соціоінженерних атак у стилі ClickFix.

«Загрози на основі шкідливого ПЗ, що залучають push-сповіщення — як для веб, так і для мобільних платформ, — не є новим явищем, особливо з огляду на те, як вони створюють відчуття терміновості. У багатьох випадках користувачі поспішно клацають — або щоб позбутися сповіщення, або щоб дізнатися більше, — що робить їх ефективним інструментом в арсеналі авторів шкідливого ПЗ», — прокоментувала Ліндсі Кей (Lindsay Kaye), віцепрезидент з аналізу загроз HUMAN Security.

Позиція Google

Представник Google повідомив, що компанія утримує переважну більшість спаму подалі від Discover завдяки надійним системам боротьби зі спамом та правилам щодо нових форм низькоякісного маніпулятивного контенту. За словами представника, ще до ознайомлення зі звітом HUMAN компанія вже запровадила виправлення для виявленої проблеми.

Google також підтвердила, що регулярно оновлює алгоритми для виявлення контенту, що порушує правила та намагається маніпулювати рейтингами Search і Discover. Згідно з настановами компанії щодо ШІ-генерованого контенту в пошуку, будь-яке використання ШІ для виробництва контенту з метою маніпуляції рейтингами є порушенням антиспамових правил.

Зв’язок з операцією Low5

Нові дані опубліковані менш ніж через місяць після того, як HUMAN виявила колекцію із понад 3 000 доменів та 63 Android-застосунків, що формують одну з найбільших коли-небудь виявлених торгових майданчиків для відмивання коштів від рекламного шахрайства. Операція отримала назву Low5 — через використання ігрових та новинних сайтів на основі HTML5 — і на піку активності генерувала близько 2 мільярдів запитів на ставки на день, потенційно охоплюючи до 40 мільйонів пристроїв по всьому світу.

Схема Low5 пов’язана зокрема з кампанією BADBOX 2.0, а застосунки, задіяні в операції, наказували пристроям відвідувати підключені домени та клікати на вбудовану рекламу. Усі причетні Android-застосунки вже видалено з Google Play Store.

«Спільний монетизаційний шар, що охоплює понад 3 000 доменів, дозволяє різним зловмисникам підключатися до одної інфраструктури, створюючи розподілену систему відмивання, яка підвищує стійкість загрози, ускладнює атрибуцію та уможливлює швидке тиражування», — зазначили у HUMAN.

Компанія також підкреслила: монетизаційна інфраструктура здатна пережити навіть ліквідацію конкретної шахрайської кампанії. Навіть якщо певний шкідливий застосунок або мережу пристроїв буде відключено, ті самі домени для виведення коштів можуть бути повторно використані іншими зловмисниками.

Ця стаття Операція Pushpaganda: як ШІ-контент і push-сповіщення перетворили Google Discover на інструмент шахраїв раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Google впровадила в Chrome 146 для Windows нову функцію безпеки — Device Bound Session Credentials (DBSC). Вона блокує можливість шкідливого програмного забезпечення типу infostealer використовувати викрадені сесійні cookie для несанкціонованого доступу до облікових записів користувачів. Власники пристроїв на macOS отримають цей захист у наступних версіях браузера — точна дата поки не оголошена.

Що таке сесійні cookie і чому їх викрадають

Сесійний cookie — це своєрідний цифровий пропуск, який сервер видає браузеру після успішного входу з логіном і паролем. Надалі браузер пред’являє цей cookie при кожному зверненні до сервісу, що дозволяє залишатися в системі без повторного введення пароля.

Саме ця властивість робить сесійні cookie привабливою ціллю для зловмисників. Отримавши такий файл, атакуючий може увійти до чужого облікового запису, не знаючи пароля. Для збору подібних даних використовується спеціалізований клас шкідливих програм — infostealer.

Google зазначає, що кілька родин таких програм, зокрема LummaC2, «стають дедалі досконалішими у зборі цих облікових даних». Компанія визнає: «Після того як складне шкідливе ПЗ отримало доступ до машини, воно може зчитувати локальні файли та пам’ять, де браузери зберігають автентифікаційні cookie. Через це не існує надійного способу запобігти викраденню cookie виключно програмними засобами — на будь-якій операційній системі».

Як працює DBSC

Технологія DBSC, анонсована ще у 2024 році, вирішує цю проблему шляхом криптографічної прив’язки сесії користувача до конкретного пристрою. На Windows для цього використовується чип Trusted Platform Module (TPM), на macOS — Secure Enclave.

Ці апаратні компоненти генерують унікальну пару публічного та приватного ключів для шифрування й розшифрування даних. Ключова властивість: приватний ключ фізично не може бути експортований із пристрою.

«Видача нових короткотривалих сесійних cookie залежить від того, чи може Chrome довести серверу наявність відповідного приватного ключа», — пояснює Google. Якщо викрадений cookie потрапляє на інший пристрій, де цього ключа немає — він миттєво стає недійсним і марним для атакуючого.

Конфіденційність і відкритий стандарт

Протокол DBSC розроблявся з урахуванням приватності: кожна сесія забезпечена окремим ключем. Це виключає можливість для вебсайтів відстежувати активність користувача в різних сесіях або на різних ресурсах з одного пристрою. При обміні даними передається лише публічний ключ, необхідний для підтвердження прив’язки до пристрою, — ідентифікатори пристрою не розкриваються.

Протокол розроблявся спільно з Microsoft як відкритий вебстандарт. До його формування також долучилися представники індустрії, відповідальні за вебзахист. Специфікації розміщено на сайті консорціуму World Wide Web Consortium (W3C).

Результати тестування та впровадження

Упродовж року тестування ранньої версії DBSC у партнерстві з кількома вебплатформами, зокрема Okta, Google зафіксувала помітне скорочення випадків викрадення сесій.

Веброзробники можуть підключити підтримку DBSC, додавши на бекенд спеціальні точки реєстрації та оновлення — без змін у фронтенді та без втрати сумісності з існуючими системами. Докладний посібник із впровадження доступний від Google, специфікації — на сайті W3C, а роз’яснення — на GitHub.

Ця стаття Google Chrome 146 отримав захист від викрадення сесійних cookie через прив’язку до апаратного забезпечення раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Samsung офіційно оголосила про припинення підтримки власного додатка Samsung Messages. Згідно з повідомленням на сайті компанії, сервіс буде повністю зупинено у липні 2026 року. Користувачам рекомендується перейти на Google Messages як основний застосунок для повідомлень.

Що відбувається

Samsung опублікувала офіційне «Повідомлення про завершення обслуговування», в якому підтвердила: Samsung Messages більше не буде доступний починаючи з липня цього року. Компанія також рекомендує всім, хто досі користується Samsung Messages, самостійно встановити Google Messages як стандартний застосунок для SMS та інших повідомлень.

Що отримають користувачі після переходу

Для власників Samsung-пристроїв перехід на Google Messages означає доступ до протоколу RCS — сучасного стандарту обміну повідомленнями, який дозволяє надсилати медіафайли у високій якості, спілкуватися у групових чатах і бачити індикатори набору тексту в реальному часі, незалежно від операційної системи співрозмовника.

Власники смартфонів Galaxy можуть втратити деякі параметри персоналізації, притаманні Samsung Messages, однак Google Messages пропонує натомість інструменти на основі генеративного штучного інтелекту Gemini — зокрема, можливість редагувати та «реміксувати» фотографії прямо в чаті. Крім того, Google Messages спрощує синхронізацію переписки між смартфоном, планшетом і смарт-годинником.

Поступове згортання тривало вже кілька років

Рішення Samsung не стало несподіванкою: компанія поетапно відмовлялася від власного месенджера протягом кількох останніх років. Починаючи з моделей Galaxy Z Fold 6 та Flip 6, а потім і серії Galaxy S25, Samsung припинила попередньо встановлювати Samsung Messages і натомість почала комплектувати пристрої Google Messages. Samsung Messages досі залишається доступним для завантаження у Galaxy Store, однак точна дата остаточного вимкнення буде оголошена безпосередньо в самому застосунку.

Що варто зробити

• Завантажити Google Messages з Galaxy Store або Google Play Store, якщо застосунок ще не встановлений.
• Встановити Google Messages як стандартний застосунок для повідомлень у налаштуваннях пристрою.
• Перевірити, чи підтримує оператор зв’язку протокол RCS для повноцінної роботи нових функцій.

Ця стаття Samsung остаточно закриває власний месенджер — замість нього Google Messages раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

У Google Play виявлено нове шкідливе ПЗ для Android під назвою NoVoice. Воно було приховано у понад 50 додатках, які сукупно завантажили щонайменше 2,3 мільйона разів. Заражені програми не викликали підозр — вони не запитували зайвих дозволів і виконували обіцяні функції.

Що таке NoVoice і як воно потрапляло на пристрої

Серед заражених додатків були утиліти для очищення пристрою, галереї зображень та ігри. Після запуску такого додатка шкідливе ПЗ намагалося отримати root-доступ до пристрою, використовуючи старі уразливості Android, які були виправлені ще у період між 2016 і 2021 роками.

Шкідливі компоненти були замасковані у пакеті com.facebook.utils — серед легітимних класів офіційного Facebook SDK. Зашифрований payload (файл enc.apk) ховався всередині PNG-зображення за допомогою стеганографії — техніки приховування даних у медіафайлах. Після вилучення він завантажувався у системну пам’ять, а всі проміжні файли видалялися для знищення слідів.

Дослідники компанії McAfee, які виявили операцію NoVoice, не змогли пов’язати її з конкретним зловмисником. Утім, вони зафіксували схожість шкідливого ПЗ з відомим Android-трояном Triada.

Як NoVoice уникало виявлення

Зловмисники реалізували 15 перевірок на наявність емуляторів, засобів відлагодження та VPN. Крім того, шкідливе ПЗ уникало зараження пристроїв у певних регіонах — зокрема в Пекіні та Шеньжені в Китаї. Якщо дозвіл на визначення місцезнаходження був недоступний, інфікування тривало далі.

Технічний механізм зараження

Після запуску шкідливий код виходив на командно-контрольний сервер (C2) і збирав інформацію про пристрій: характеристики апаратного забезпечення, версію ядра, версію Android та рівень патча безпеки, список встановлених програм і статус root. На основі цих даних визначалася стратегія атаки.

Далі шкідливе ПЗ кожні 60 секунд надсилало запити до C2 та завантажувало різноманітні компоненти для експлойтів, підібраних під конкретний пристрій. Дослідники McAfee зафіксували 22 такі exploit-модулі, зокрема use-after-free-помилки ядра та уразливості драйверів Mali GPU. Вони надавали зловмисникам root shell і дозволяли вимкнути SELinux — базовий механізм безпеки Android.

Стійкість: шкідливе ПЗ виживає навіть після скидання до заводських налаштувань

Після отримання root-доступу ключові системні бібліотеки — libandroid_runtime.so та libmedia_jni.so — замінювалися модифікованими версіями, які перехоплювали системні виклики та перенаправляли виконання до шкідливого коду.

Руткіт забезпечував кілька рівнів стійкості: встановлював скрипти відновлення, замінював системний обробник збоїв завантажувачем руткіта та зберігав резервні payload-файли у системному розділі пристрою. Оскільки цей розділ не очищається під час скидання до заводських налаштувань, шкідливе ПЗ зберігалося навіть після такого очищення.

Окремий процес-охоронець перевіряв цілісність руткіта кожні 60 секунд і автоматично відновлював відсутні компоненти. У разі невдачі він примусово перезавантажував пристрій, що призводило до повторного завантаження руткіта.

Крадіжка даних WhatsApp

На етапі після зараження шкідливий код впроваджувався у кожен запущений на пристрої додаток. Розгорталися два основні компоненти: один забезпечував приховане встановлення або видалення програм, другий діяв усередині будь-якого додатка з доступом до інтернету та виконував функцію основного інструмента крадіжки даних.

Головною ціллю став месенджер WhatsApp. При його запуску на зараженому пристрої шкідливе ПЗ витягувало чутливі дані, необхідні для клонування сесії: зашифровані бази даних, ключі протоколу Signal, а також ідентифікатори облікового запису — номер телефону та дані резервної копії Google Drive. Ці відомості передавалися на C2, що дозволяло зловмисникам відтворити WhatsApp-сесію жертви на власному пристрої.

Дослідники зауважили, що хоча їм вдалося відновити лише payload, орієнтований на WhatsApp, модульна архітектура NoVoice теоретично дозволяє застосовувати інші модулі для атаки на будь-який додаток.

Реакція Google та поточний стан загрози

Після того як McAfee — член App Defense Alliance — повідомила Google про знахідку, всі заражені додатки були видалені з Google Play. Утім, пристрої тих, хто встановив ці програми раніше, слід вважати скомпрометованими.

Оскільки NoVoice експлуатує уразливості, виправлені до травня 2021 року, оновлення до пристрою з пізнішим рівнем патча безпеки ефективно нейтралізує цю загрозу в її нинішній формі.

Рекомендації для користувачів Android

• Перевірити, чи не входить встановлений раніше додаток до переліку заражених.
• Оновити пристрій до актуального рівня патча безпеки або перейти на модель із підтримкою свіжих оновлень.
• Завантажувати додатки лише від відомих і перевірених розробників — навіть у межах Google Play.
• Якщо пристрій вважається скомпрометованим, змінити паролі та перевірити активні сесії WhatsApp у налаштуваннях облікового запису.

Ця стаття NoVoice: шкідливе ПЗ у Android-додатках заразило 2,3 мільйона пристроїв раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Зловмисники проводять фішингову кампанію проти власників бізнес-акаунтів TikTok. Особливість атаки — використання механізму, який блокує автоматичний аналіз шкідливих сторінок системами виявлення загроз. Про це повідомляє компанія Push Security, що спеціалізується на захисті браузерів.

Навіщо зловмисникам саме бізнес-акаунти TikTok

TikTok for Business є привабливою ціллю для кіберзлочинців через широкі можливості для зловживань: розповсюдження реклами зі шкідливим вмістом (malvertising), рекламне шахрайство та поширення шкідливого ПЗ. Бізнес-акаунти мають ширший охоплення та виглядають більш легітимно, що робить їх ідеальним інструментом для маніпуляцій.

Раніше платформу вже використовували для поширення шкідливого ПЗ, що краде дані, через відеоролики, а також для криптовалютних шахрайств через фейкові акції.

Як працює схема атаки

За даними Push Security, жертв заманюють на фішингові сторінки, зареєстровані 24 березня через реєстратора NiceNIC — компанію, яку дослідники кібербезпеки неодноразово пов’язували з кіберзлочинними операціями. Самі сторінки розміщені на інфраструктурі Cloudflare.

Ланцюжок атаки виглядає наступним чином:

• Початкове посилання перенаправляє користувача через легітимну URL-адресу Google Storage.
• Далі активується перевірка Cloudflare Turnstile, яка блокує автоматичні боти — зокрема системи аналізу загроз — від доступу до шкідливої сторінки.
• Після проходження перевірки жертва потрапляє на фішингову сторінку.

Push Security пов’язує кампанію з аналогічними атаками, задокументованими торік проти акаунтів Google Ad Manager, і зазначає, що початковий механізм доставки посилань поки не встановлено.

Фейкові сторінки та крадіжка акаунтів

Шкідливі домени мають схожі назви та розміщені на одному Google Storage-бакеті. Серед виявлених адрес — welcome.careerscrews[.]com, welcome.careerstaffer[.]com, welcome.careersworkflow[.]com та інші з аналогічними назвами.

Ці сторінки імітують інтерфейси TikTok for Business та Google Careers із формою запису на дзвінок. Спочатку від користувача запитують базову інформацію нібито для підтвердження корпоративної електронної пошти. Після цього відображається фейкова сторінка входу.

Технічно вона реалізована як reverse proxy — посередник між жертвою та справжнім сервісом. Це дозволяє перехоплювати облікові дані та файли сесії (session cookies) і передавати їх зловмисникам. Критично важливо, що такий підхід дає змогу захопити акаунт навіть за увімкненого двофакторного захисту (2FA).

Ризик для пов’язаних акаунтів Google

Push Security звертає увагу на додатковий ризик: багато власників бізнес-акаунтів TikTok використовують вхід через Google SSO (єдиний вхід). «Це означає, що будь-хто, хто входить у TikTok через Google, фактично одночасно компрометує обидва акаунти, які використовуються для розміщення реклами», — зазначають дослідники.

Як захиститися

• Зберігати обережність щодо підозрілих запрошень і пропозицій роботи, особливо отриманих від невідомих контактів.
• Перед введенням облікових даних перевіряти адресу домену в рядку браузера.
• Для захисту важливих акаунтів використовувати passkeys — стійкіша альтернатива паролям, яка не перехоплюється через reverse proxy.
• Власникам бізнес-акаунтів TikTok, що використовують вхід через Google, мати на увазі, що злам одного акаунта може означати компрометацію обох.

Ця стаття Хакери атакують бізнес-акаунти TikTok через фішинг, що обходить антибот-захист раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар