Мошенники используют более 54 тысяч доменов для фишинга под Telegram

Фишинговая схема работает следующим образом: пользователь попадает на поддельную страницу входа в Telegram, где его просят ввести номер телефона. После этого сайт отправляет запрос к Telegram API для получения OTP. Если жертва вводит код, злоумышленники получают полный доступ к аккаунту через веб-версию мессенджера. Эксперты Palo Alto провели тестирование одного из таких сайтов, введя неверный OTP несколько раз. В результате система Telegram заблокировала номер на 24 часа, причем ограничение распространилось и на официальный сайт мессенджера. Это подтвердило, что фишинговая страница взаимодействует с API Telegram через WebSocket-соединение (wss://zws1.web.telegram.org/apiws).

Помимо фишинговых страниц, злоумышленники распространяют вредоносные APK-файлы, имитирующие официальное приложение Telegram. Один из таких файлов имеет хеш SHA256: 141b2f58d730a6875b9214bfd152283282ca0e0ad88d5bfc6843bd7fb5beda3b. Установка подобных приложений может привести не только к краже учетных данных, но и к заражению устройства дополнительным вредоносным ПО.

Активность кампании резко возросла в марте 2025 года, когда было зарегистрировано 16,1 тыс. доменов. С тех пор мошенники продолжают расширять инфраструктуру, добавляя в среднем около 200 новых доменов ежедневно. Большая часть доменов (48,6%) зарегистрирована через Dynadot LLC, еще 32,6% - через Chengdu West Dimension Digital Technology Co., Ltd.

Пользователям Telegram стоит быть особенно внимательными при переходе по ссылкам и вводе учетных данных. Никогда не вводите номер телефона и OTP на подозрительных сайтах, даже если они выглядят идентично официальному интерфейсу Telegram. Всегда проверяйте доменное имя - фишинговые страницы часто используют адреса, похожие на оригинальные, но с опечатками или дополнительными символами.

Устанавливайте приложение Telegram только из официальных магазинов (Google Play, App Store) или с сайта telegram.org. Если вам предлагают скачать APK-файл из ненадежного источника, высока вероятность, что это вредоносное ПО.

Кроме того, рекомендуется включить двухфакторную аутентификацию (2FA) в настройках Telegram. Это добавит дополнительный уровень защиты: даже если злоумышленники получат доступ к вашему номеру и OTP, они не смогут войти в аккаунт без второго пароля.

Компания Palo Alto Networks отслеживает эту кампанию под названием "telegram_acc_hijack" и рекомендует пользователям сообщать о подозрительных сайтах в службу поддержки Telegram. Чем быстрее будут блокироваться фишинговые домены, тем меньше людей пострадает от мошеннических схем.

Фишинг остается одним из самых распространенных методов кибератак, и злоумышленники постоянно совершенствуют свои методы. Оставаясь бдительными и соблюдая базовые правила цифровой гигиены, пользователи могут значительно снизить риск попадания в подобные ловушки.

Domains

• bot-telegram.org
• cf-telegran.org
• gnw-telegrem.org
• id-telegarm.com
• teiegram-weo.icu
• teiegram-wet.icu
• teiegran-a.me
• teiegran-web.xyz
• teiegrnmcv.com
• teiegrnmyj.top
• telegraix.club
• telegrcn-xc.org
• telegrmaer.net
• telegvpxw.top
• telegvpxw.work

SHA256

• 141b2f58d730a6875b9214bfd152283282ca0e0ad88d5bfc6843bd7fb5beda3b