Новая фишинговая атака через Telegram: как злоумышленники крадут пароли и личные данные

Фишинговые письма содержат вложения в формате HTML, которые внешне имитируют интерфейс просмотра PDF-файлов. При открытии такого файла пользователь видит размытый фон, напоминающий документ, и сообщение с просьбой ввести пароль от электронной почты для доступа к содержимому. Под полем ввода размещено предупреждение о возможной потере доступа к файлу при неправильном вводе пароля. Такая тактика направлена на создание ощущения срочности и важности, что увеличивает вероятность успешного обмана жертвы.

Анализ кода показал, что сценарий фишинга тщательно продуман: он меняет сообщения в зависимости от действий пользователя. Если человек пытается войти без ввода пароля, система выдает ошибку "Невозможно найти подходящую информацию для входа". Если же пароль введен, но кнопка нажата один раз, появляется сообщение "Please enter the correct password", а при повторной попытке – "The password you entered is incorrect". После трех неудачных попыток пользователь перенаправляется на легитимный PDF-файл, предоставленный одной из корейских ERP-компаний. Это сделано для того, чтобы снизить подозрения и заставить жертву поверить, что файл был настоящим, но доступ к нему ограничен.

Опасность этой атаки заключается в том, что злоумышленники не просто собирают введенные пароли, но и передают их через Telegram API. В коде скрипта присутствует функция sendTeleMsg, которая отправляет в заранее созданный чат бота следующие данные: адрес электронной почты получателя, введенный пароль и IP-адрес жертвы. Более того, используя сервис json.geoiplookup.io, злоумышленники могут получить дополнительную информацию о пользователе, включая данные о провайдере и даже географические координаты.

Эксперты предполагают, что выбор Telegram в качестве канала передачи данных обусловлен его анонимностью и шифрованием. Кроме того, использование API популярного мессенджера позволяет злоумышленникам обходить антивирусные системы, так как трафик к обычным доменам реже блокируется. Подобные атаки с применением Telegram фиксировались и ранее, но новая кампания отличается более продуманным сценарием обмана, включая использование легитимных PDF-файлов и изображений для маскировки вредоносной активности.

Пользователям необходимо проявлять повышенную бдительность при работе с электронной почтой. Никогда не стоит вводить учетные данные во вложениях, особенно если письмо пришло от неизвестного отправителя. Рекомендуется проверять адрес отправителя, обращать внимание на грамматические ошибки в тексте и использовать двухфакторную аутентификацию для защиты аккаунтов. Компаниям же следует обучать сотрудников основам кибербезопасности и внедрять системы фильтрации фишинговых писем.

Фишинг остается одним из самых распространенных методов кибератак, и с каждым годом злоумышленники совершенствуют свои схемы. В данном случае сочетание социальной инженерии и технологических уловок делает атаку особенно опасной. Остается надеяться, что повышение осведомленности пользователей и развитие защитных механизмов помогут снизить риски подобных инцидентов в будущем.

MD5

• 94ebd0b12c95f5072561676985b1dbe5