Злоумышленники адаптировали старую социальную уловку под технические возможности мессенджера Telegram. Редакция SEC-1275-1 получила сообщения о новой волне фишинговых атак, при которой используются уже скомпрометированные учётные записи реальных пользователей. Жертве приходит сообщение от знакомого контакта со ссылкой, ведущей на поддельный сайт с предложением проголосовать за одного из больных детей. В качестве приманки аферисты обещают грант на лечение победителю голосования. Однако на самом деле страница предназначена для кражи доступа к самому аккаунту Telegram.
Описание
Схема выглядит следующим образом. Сначала злоумышленники получают контроль над аккаунтом в Telegram - неважно, через утечку пароля, перехват SMS-кода или предыдущий фишинг. Затем от имени этого пользователя они рассылают его контактам сообщение вида: "Привет! Проголосуй, пожалуйста за [Имя ребенка]". В тексте прикреплена ссылка на домен rich.2grow[.]lol с путём /hand. Внешне ресурс имитирует благотворительную платформу: на странице размещены фотографии детей, краткие истории болезней и кнопка "Голосовать". Всё выглядит максимально правдоподобно, особенно когда сообщение приходит от реального друга или коллеги.
После нажатия на кнопку Голосования начинается техническая часть атаки. Сайт запрашивает номер телефона, а затем - код подтверждения, который приходит в сам Telegram. Пользователь думает, что это двухфакторная аутентификация для голосования, и вводит код. На деле этот код - одноразовый пароль для входа в учётную запись. Мошенники мгновенно его перехватывают и получают полный доступ к аккаунту жертвы. После этого они повторяют рассылку уже от имени новой жертвы, и круг замыкается.
Примечательно, что фишинговый сайт размещён на инфраструктуре Google Consent. Это платформа, которую Google предоставляет для обработки согласий пользователей на обработку персональных данных. Злоумышленники, вероятно, используют легитимные облачные сервисы, чтобы обойти базовые фильтры безопасности и продлить время жизни ресурса. . Обнаружить такой сайт стандартными методами сложно, так как он находится на субдомене или в рамках сервиса, который обычно не блокируется.
Цель атаки - не сбор данных банковских карт и не установка программ-вымогателей, а именно захват учётных записей Telegram. Для злоумышленников аккаунт в этом мессенджере представляет большую ценность. Он может содержать переписки, доступ к каналам, контактам, а в некоторых случаях - привязанные номера телефонов и личную информацию. Далее захваченные аккаунты используются либо для продолжения фишинговых кампаний (как в данном случае), либо для вымогательства у контактов, либо для доступа к корпоративным чатам, если жертва является сотрудником компании. Для бизнеса такая атака может обернуться утечкой внутренних коммуникаций или компрометацией служебных групп в Telegram.
Удивительно, но социальная инженерия здесь строится на весьма эмоциональном триггере - желании помочь больному ребёнку. Это снижает бдительность даже у опытных пользователей. Когда просьба приходит от того, кому доверяешь, проверка подлинности ссылки часто откладывается на потом.
А сам факт голосования кажется безобидным действием, не требующим ввода секретных данных. Однако фишинговая ссылка приводит именно к форме авторизации.
Стоит отметить, что Telegram имеет несколько уровней защиты. В настройках безопасности можно включить двухфакторную аутентификацию (облачный пароль), которая запрашивается при каждом входе с нового устройства. Если у жертвы такой пароль установлен, то ввод одноразового кода не даст злоумышленнику полного доступа - потребуется ещё и облачный пароль. Но, к сожалению, многие пользователи игнорируют эту возможность. Кроме того, сам код для входа приходит в виде всплывающего уведомления внутри Telegram, которое на поддельном сайте может быть имитировано, но на официальной странице входа такая симуляция отсутствует. Однако жертва, находясь в возбуждённом состоянии, не вглядывается в адресную строку.
Техническое расследование показывает, что домен rich.2grow[.]lol зарегистрирован недавно, и его время жизни, скорее всего, измеряется несколькими днями. После того как ресурс будет заблокирован, мошенники перейдут на новое имя. Такие кампании, как правило, длятся ровно до тех пор, пока их не заметят антифишинговые службы. Взломанные аккаунты продолжают рассылать сообщения до тех пор, пока либо владельцы не сменят пароль и не отключат все активные сессии, либо Telegram сам не принудительно завершит подозрительную активность.
К сожалению, единого рецепта защиты от таких атак не существует. Пользователям стоит запомнить простое правило: никогда и нигде не вводить код из SMS или кода от Telegram на сторонних сайтах, даже если страница внешне похожа на официальную. Если знакомый просит проголосовать или перейти по ссылке, лучше переспросить его лично голосовым звонком или другим каналом, не доверяя текстовому сообщению. Для организаций имеет смысл ограничить использование личных аккаунтов Telegram для рабочих целей и внедрить корпоративные мессенджеры с централизованным управлением безопасностью.
Тенденция использования взломанных аккаунтов для распространения фишинга не нова, но её адаптация под Telegram с эмоциональным контекстом помощи детям делает её особенно опасной. Кампания, о которой сообщили в редакцию SEC-1275-1, вероятно, является лишь эпизодом более масштабной волны. Мошенники не стоят на месте: они используют легитимные облачные сервисы для хостинга, автоматизируют рассылку через API после захвата аккаунта и применяют сложные социальные сценарии. Единственный способ противодействия - повышение цифровой грамотности и включение всех доступных механизмов двухфакторной защиты. Как только пользователь перестанет вводить коды на незнакомых сайтах, эффективность такой атаки сойдёт на нет.
Индикаторы компрометации
URLs
- http://rich.2grow.lol/hand
