В Telegram замечена новая волна угонов аккаунтов. Цели атаки — российские медиаменеджеры, маркетологи, журналисты, пиарщики.
Что случилось?
В эти выходные специалисты Центра кибербезопасности F.A.C.C.T. обнаружили 462 домена для кражи учетных записей в Telegram с различными легендами о голосовании в конкурсах, которые вели на ресурсы с фишинговыми формами для авторизации.
Напомним, что массовые угоны аккаунтов с помощью голосований начались прошлым летом. Сначала мошенники использовали легенду с конкурсами детского рисунка, вокала или балета, а с декабря прошлого года переключились уже на более взрослые сценарии.
Как работает схема?
Жертву добавляли в группу и просили проголосовать на конкурсе «THE BEST PROJECT MANAGER» или «Marketing and PR Specialist». С неймингом таких чатов злоумышленники долго не думали: чтобы такие каналы было труднее обнаружить, они называют их «Всем привет», Добрый день всем», «Доброе утро!».
Скриншот мошеннической группыЕще один скриншот мошеннической группы
Еще один скриншот мошеннической группы
В одном из примеров ссылка вела на домен https://online-happy[.]ru, созданный три дня назад, где надо было выбрать одного из двух кандидатов.
Форма для голосования
Форма для голосования
Затем происходит редирект на другой ресурс, например, allance-online24[.]ru, где участнику голосования предлагают авторизоваться в Telegram через QR-код или отправку кода не телефон.
Так происходит компрометация аккаунта — или, проще говоря, его угон. Злоумышленники сразу отвязывают его от текущего номера и жертва теряет доступ к своим перепискам в мессенджере, контактам и сохраненным сообщениям, фото и видео.
Авторизация через QR-код
Авторизация через QR-код
Авторизация через код
Авторизация через код
Как масштабировалась схема?
После угона аккаунта предложение поучастовать в голосовании отправлялось уже по базе контактов. То есть каждая новая жертва уже сама становится распространителем мошеннических объявлений.
Список мошеннических ресурсов
Начиная с декабря 2023 года, злоумышленники зарегистрировали 462 домена для голосования. Из них 85 — в феврале и 162 — в марте. Вот некоторые из ресурсов:
alliance-capital24[.]rualliance-happy[.]rualliance-happy24[.]rualliance-headway[.]rualliance-headway24[.]rualliance-luck[.]rualliance-luck24[.]rualliance-moscow24[.]rualliance-online24[.]rualliance-people[.]rualliance-people24[.]rualliance-russia24[.]rualliance-success[.]rualliance-success24[.]rubizxp[.]rucapital-alliance[.]rucapital-alliance24[.]rucapital-happy[.]rucapital-happy24[.]ruhappy-alliance[.]ruhappy-alliance24[.]ruhappy-capital[.]ruhappy-capital24[.]ruhappy-moscow24[.]ruhappy-online24[.]ruhappy-people24[.]ruhappy-russia24[.]ruhappy-world24[.]ruheadway-alliance[.]ruheadway-alliance24[.]ruluck-alliance[.]ruluck-alliance24[.]rumail.capital-alliance[.]rumoscow-alliance24[.]rumoscow-happy[.]rumoscow-happy24[.]rumx.online-happy[.]ruonline-alliance[.]ruonline-alliance24[.]ruonline-happy[.]ruonline-happy24[.]rupeople-alliance[.]rupeople-happy24[.]rurussia-alliance[.]rurussia-alliance24[.]rurussia-happy[.]rurussia-happy24[.]rusuccess-alliance[.]rusuccess-alliance24[.]ruv350679.hosted-by-vdsina[.]ruworld-happy24[.]ruwww.alliance-capital24[.]ruwww.alliance-happy[.]ruwww.alliance-happy24[.]ruwww.alliance-headway[.]ruwww.alliance-headway24[.]ruwww.alliance-luck[.]ruwww.alliance-luck24[.]ruwww.alliance-moscow24[.]ruwww.alliance-online24[.]ruwww.alliance-people[.]ruwww.alliance-people24[.]ruwww.alliance-russia24[.]ruwww.alliance-success[.]ruwww.alliance-success24[.]ruwww.capital-alliance24[.]ruwww.capital-happy[.]ruwww.capital-happy24[.]ruwww.happy-alliance[.]ruwww.happy-alliance24[.]ruwww.happy-capital[.]ruwww.happy-capital24[.]ruwww.happy-moscow24[.]ruwww.happy-people24[.]ruwww.happy-russia24[.]ruwww.happy-world24[.]ruwww.headway-alliance[.]ruwww.headway-alliance24[.]ruwww.luck-alliance[.]ruwww.luck-alliance24[.]ruwww.moscow-alliance24[.]ruwww.moscow-happy[.]ruwww.moscow-happy24[.]ruwww.online-alliance[.]ruwww.online-alliance24[.]ruwww.online-happy[.]ruwww.online-happy24[.]ruwww.people-alliance[.]ruwww.people-happy24[.]ruwww[.]russia-alliance[.]ruwww[.]russia-alliance24[.]ruwww[.]russia-happy24[.]ruwww.success-alliance[.]ruwww.success-alliance24[.]ruwww.world-happy24[.]ru
Что нужно сделать, чтобы обезопасить себя?
Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и виртуальный пароль.
Не переходите по подозрительным ссылкам, не участвуйте в голосованиях и конкурсах.
Если вам написала родственница или коллега с просьбой проголосовать или поучаствовать в конкурсе — перепроверьте эту информацию.
Не сообщайте и не вводите на подозрительных ресурсах коды из СМС и пуш-уведомлений.
Если телеграм-аккаунт разлогинился, попробуйте снова войти, но, если это не получается — оперативно связывайтесь с техподдержкой!
Источник: habr.com