Comments 31
А в чем новость? Ну фишинг и фишинг. На каждый новый аккаунт, с которого разводят, надо по статье писать?
включая оформление займов на жертв
Каким образом?
Думаю, раз люди отдают мошенникам коды из смс, то и номер телефона свой скажут, а там уже из слитых баз можно достать паспортные данные, если не сканы. А дальше в онлайн МФО со всем этим.
А дальше в онлайн МФО со всем этим.
Так может этим сердобольным "экспертам" нужно как-то поспособствовать прикрытию этой лазейки? Странно, что такое возможно в принципе. Я думаю это должно быть головной болью тех, кто даёт такие займы и ответственность должна быть на них.
Это что-то из серии: Василь Иваныч, у тебя удочка есть? через взломанный акк злоумышленники распространяли экстремизм, а в Сирии опять рвануло, так потерпевший стал террористом.
Думаю, это был единичный кейс, который сработал. И теперь его масштабируют в качестве примера могущества хакера. Чисто теоретически, ситуация "взломали телеграм - взяли займ" возможна, навскидку вижу пути, которые бы сработали в нескольких странах.
- У юзера в переписке был сотрудник Банка, который ранее одобрял кредит. Мошенник написал ему и с помощью социальной инженерии взял новый кредит/изменил условия текущего.
- У юзера в переписке были сохранены учётные данные, которые мошенник использовал для доступа в систему Банка.
- Юзер проходил удалённую идентификацию через телеграм путём отправки "селфи-с-паспортом" (у нас в стране до 2021 года такое прокатывало). Мошенник взял имеющуюся селфи и отправил в банк для подтверждения личности.
- Двухфакторная аутентификация была настроена на ввод кода, который пришёл в ТГ.
Вроде бы "селфи с паспортом" должно отправляться только через банковское приложение. Не через обычные мессенджеры.
В идеальном мире возможно так. В реальном мире, со знанием социальной инженерии, можно обойти это ограничение. В контексте "у меня телефон редкой модели, ваше приложение не работает, мне срочно нужен кредит, я его не могу получить и буду жаловаться в ООН"
Наверное мы друг друга не поняли.
Кейс: ко мне приехал курьер и привёз карту тинька.
И он меня сфоткал с паспортом на свой телефон.
Не на мой.
Понятно, что бывают телефоны редких моделей, но я говорил про курьера, у которого обязанности - ездить по клиентам и менять кредитку на селфи. И я ожидаю, что у курьера есть стандартный телефон (который ему выдал банк), на котором установлено приложение (которое ему поставили саппорты банка), и которым он фоткает клиентов.
Мы скорее говорим про разные кейсы и страны. У нас (Узбекистан) во времена ковидлы пришла необходимость массового дистанционного обслуживания, а инструменты не поспевали за этим.
Самолично получал банковские услуги путём отправки на личный телеграм сотрудника селфи-паспорта.
Сейчас уже не так, но где-то мог сохраниться такой реликт
А, понял. Ну у нас тоже за последние три года многое стало дистанционно. Возможно где-то и через телеграм селфи передают, просто мне не встречалось.
Вообще я специально этим вопросом долбал саппортов, и они клялись, что у их курьеров специальное приложение (в телефон к курьеру я не заглядывал, они и так нервные ;) )
Так а дальше то что? Ну кликнул ты по ссылке, что происходит дальше? Где детали? Открывается фишинговый сайт с доменом типа faketelegram.org где просят ввести последний пришедший код или че?
Ссылка в сообщении при этом распространяется на весь текст, это известный приём злоумышленников
Предлагаю скинуть эту статью Дурову и прочим разработчикам всяких браузеров. Может, наконец то сделают ссылки настоящими ссылками: синими и подчеркнутыми, с отключением возможности делать ссылки, неотличимые от текста.
Так в телеграмм вроде ссылки и так от текста отличаются. Даже если и сделают мухи от котлет отдельно, найдутся люди кто по ссылке перейдет.
Они синие, а текст белый...
Плюс если зажать на ссылку будет виден адрес, какая то надуманная проблема у тебя
Может, наконец то сделают ссылки настоящими ссылками: синими и подчеркнутыми
Ты что! Знаешь как от этого расстроятся дизайнеры?!
(сарказм)
Используя номер телефона жертвы, они отправляют множество запросов на получение кода подтверждения для входа в мессенджер.
Это как вообще? Что значит - "используя номер телефона жертвы"?
И вот в очередной раз мы видим, что сокрытие реальных ссылок в мессенджерах - зло. И раздолье для мошенников. При этом практически везде сейчас стараются реальный код ссылок как можно сильнее убрать. А то ж пользователи длинных ссылок пугаются, ага.
Каким образом можно скрыть ссылку в телеграме? Если она не прописана явно, а обернута текстом, то при клике по тексту телеграм сначала покажет ссылку и спросит подтверждение перехода
Не отличить фейковый аккаунт от реального профиля телеграма - это нужно быть очень умным человеком.
под названием Telegram Security Messenger.
Хитро придумали
Но как-то уж мало деталей в статье как именно они по итогу это делают
Двухфакторная аутентификация снизит риск увода учётки.
В Telegram появилась новая мошенническая схема кражи аккаунтов