Голосуй, или проиграешь! разбор фишинга, который пытается угнать Telegram

[0x200AC]

Пару недель назад в твиттере читал залетевший пост девушки творческого склада ума, где она рассказывала как ее обманули на переводе оплаты за аренду квартиры через Я*ндекс Недвижимость. И по ходу прочтения поста до меня дошло, что она даже не поняла, где был, собственно, обман. Ни домен вида list-property-site.tk ее не смутил, ни платежная форма якобы от "Я*декса" с переводом денег на карту дропа. Смутило ее лишь то, что ей заблокировали карту за этот перевод.

Так вот в комментах были буквально десятки людей, которые в ответ на комменты "ну как можно было не видеть фишинговый домен" отвечали, что "А я разве обязан знать что такое домен и как определить. что он фишинговый?". Десятки людей. В Твиттере, чтобы зайти в который нужно хотя бы как минимум уметь обходить блокировку

[urvanov]

ак вот в комментах были буквально десятки людей, которые в ответ на комменты "ну как можно было не видеть фишинговый домен" отвечали, что "А я разве обязан знать что такое домен и как определить. что он фишинговый?". Десятки людей

Сейчас в эпоху нейросетей и приложений из сторов таких людей ещё больше станет.

[kalapanga]

Так они и блокировки так же обходят - устанавливают первый попавшийся "разблокировщик всего" от неизвестно кого.

[HardWrMan]

Вспомнилась классика...

[HardWrMan]

устанавливают первый попавшийся "разблокировщик всего" от неизвестно кого.

Я достаточно стар, что помню что была мода устанавливать целую операционную систему "Сборка от Васяна из 5Б". С RAdmin'ом и дефолтным паролем. Простенький сканер за ночь майнил полтора десятка активных консолей с админским доступом. Иногда даже можно было смотреть камеры на ноутах. Рад, что эти времена прошли. Или не прошли?

[Wesha]

"А я разве обязан знать что такое домен и как определить. что он фишинговый?".

«А разве я обязан знать, что такое руль, и где педаль тормоза? Мне всего‑то надо в „Пятёрочку“!» ©

[max9]

не подсказывайте, а то ГК 1079 и сюда на интернет натянут

[Wesha]

а то ГК 1079 и сюда на интернет натянут

Или наоборот!

[AVX]

Вот лучше бы было "обязан знать". Как с водительским удостоверением - изучил ПДД, сдал экзамен - ездишь по дорогам. Это 25-30 лет назад в интернете были более-менее понимающие пользователи, которые отличали браузер от сайта и домен от ip адреса. А сейчас порог входа низкий (точнее, его и нет практически). Любая обезьяна в интернет выходит, да ещë и с лëгким сердцем вводит куда попало данные карты, пароли и что угодно ("ну там же написано, введите пароль").

[anti256]

Блин, вот эти вещи надо детям в школе с первого класса вдалбливать, а не патриотизм и культуры народов России. И лучше, чтоб каждый год и с обязательными проверками знаний путем устройства учебных атак.

[da1ight]

Есть такая программа/инициатива «Урок цифры». Школьникам рассказывают про разные аспекты и направления в IT. Собственно, в рамках программы я посетил несколько школ и рассказал учащимся (9, 10, 11 классы) про фрод и какие опасности их сегодня подстерегают. Основная проблема даже не в фишинге, когда угоняют твой Steam-аккаунт, а когда неизвестный просит прислать фотографию какого-то здания или поджечь релейный шкаф за условную тысячу рублей, и потом тебя, малолетнего гения, пакуют за пособничество терроризму

[Poletavatti]

Не думал почему твои шефы называют поджог релейного шкафа терроризмом? Это же в чистом виде "диверсия"

"Терроризм" - это преступление для запугивания с целью принудить выполнить требования преступника. Кого пугает поджог шкафа?

[Wesha]

Язык изменился. Сейчас «терроризм» — это «что‑то, за что мы хотим вас посадить, никто не знает, что это такое, но это и не важно». Сейчас под «терроризм» всё что угодно подтягивают — хоть посты в соцсеточке.

[zurabob]

Большое спасибо за статью, скормил ее дипсику и он столько интересного и нового рассказал, почти час общались! За странными жаргонизмами открылся целый новый мир.

Самое главное для жертвы, что телега запрещает в течении 24 часов закрывать другие сессии и значит жертва может в течении этого времени выкинуть мошенника, также мошенник получает лишь сессионный ключ, который привязан к слепку браузера и IP мошенника, но не получает пароля и возможности сменить его или телефон.

[da1ight]

Спасибо за положительную обратную связь

[Wesha]

скормил ее дипсику

В наше время этим не гордились!

[zurabob]

“Наши люди в булочную на такси не ездят!”

Раньше прочитал бы статью, интересно, но очень многое непонятно и закрыл, поскольку нет столько времени разбираться. А теперь все непонятное ИИ разжует и можешь добиться понимания на любом уровне глубины на основе такой качественной статьи за разумно конечное время.

[Wesha]

А теперь все непонятное ИИ разжует и можешь добиться понимания на любом уровне глубины

...остаётся только такая незначительная мелочь — никогда не известно, а не назвиздел ли он.

[smashrod]

хорошо разобранный кейс, недавно такие ссылки присылали, но сразу блокаю, не люблю накрутить дажеи это и не фишинг, хотя пахло сразу... хотелось бы больше разных разборов почитать

[phikus]

Заходить с браузера в незнакомый HTTP‑сайт в пять утра не очень хочется

Опять этот детский сад и мантра из всяких пабликов "Вася только нажал на ссылку и у него угнали аккаунт" 🤗

Хотя чему я удивляюсь, хабр ведь давно уже не для айтишников

[da1ight]

У меня нет привычки переходить по непонятным ссылкам с рабочих, личных устройств. А вы судя по всему про 0day не слышали?

[phikus]

Конечно я ничего никогда не слышал про zero-day уязвимости, я же не айтишник

[Wesha]

я же не айтишник

дебаггер на варезнике нашёл?

[wmgeek]

Пару месяцев назад целая группа «добрых мамочек» прошла через подобное, успешно проголосовала и искренне удивлялась как же так что именно мария янкова не победила.

При этом потерю аккаунта своего через месяц после голосования они никак не связывали с голосованием за машеньку.

Зловред получив сессию сидел тихо и вообще ничего не делал 30 дней, а на 31 завершил все сессии кроме своей.

При попытке перезайти через телефон и смс - от телеграм было лишь сообщение о том, что число попыток входа превышено и попробуйте позже.

После обращения в саппорт телеграм - пришел код на емыл, получилось зайти, но тут же выбило снова.

Второе обращение в Саппорт ссылалось на то что атакующий активно противодействует и следующий код для входа пришел уже после «завершения» всех активных сессий в том числе атакующего.

Аккаунт удалось восстановить. Поддержка телеграмм работает. Админские аккаунты по группам не пострадали. Но 1 из 100 контактов проголосовал ведь ты сама просила и потерял свой аккаунт. На всей записной книжке это более 20 пострадавших.

Интересно еще и то, что спустя 2 месяца аккаунт стали добавлять в странные группы с очень таргетированной атакой на основе анализа всей переписки. С требованием оплатит долги по коммуналке, проголосовать на сотрании собственников и т.д. и т.п. то есть атаку продолжили даже после восстановления контроля над аккаунтом и прододжили «очень таргетированно» и «полностью LLM автоматизирлванно».

Респект за абузы и раскрытие темы. Но, к сожалению, «девочки» всеравно «проголосуют за машеньку янкову и оплатят долги по коммуналке, дадут взаймы подружке» и вообще эта атака весьма продвинутая уже сейчас и явно развивается дальше…

[HardWrMan]

Всем известно, что самый страшный вирус сидит перед монитором. Его нельзя никак нейтрализовать. А LLM просто сильно подтянули социнженерию для точечных атак. В этом ключе отключение всего и вся выглядит уже не так страшно, да? Да не, бред какой-то.

Я помню, как воевал с софтом студент в компьютерном классе универа, где антивирус блокировал его курсач на дискете, потому что этот DOC был заражён, а у студента сдача через 5 минут. Благо, студеням гостям на рабочей станции было разрешено только то, что в белых спискках. Даже каталог с квотой. Мы с ОПом тогда много попкорна съели.

[Alosxkj]

Я правильно понимаю что после авторизации в форкнутом клиенте этот клиент потом отправляет данные сессии злоумышленнику?