Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.
В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.
Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.
Мы расскажем и покажем:
как мошенники могут забрать все NFT, даже без участия жертвы;
как они находят пользователей для осуществления схемы;
какие инструменты используют;
как уберечь свои уникальные цифровые продукты.
Telegram-подарки
Сначала разберёмся, какие бывают подарки в Telegram. Их можно разделить на три типа, с каждым из которых мошенники взаимодействуют по-разному:
Обычные, не улучшаемые подарки. Их нельзя выставлять на открытую трейд-площадку, но можно сразу конвертировать в звёзды — внутреннюю валюту Telegram.
Редкие подарки, некоторые из них в последующем можно улучшить до уникальных (лимитированных).
Лимитированные подарки, отличающиеся своей редкостью в зависимости от вероятности выпадения того или иного атрибута на каждом конкретном NFT.
Что же это за атрибуты? Уникальность подарка зависит от трёх основных характеристик: модель, цвет фона и символы на фоне. Чем меньше процент каждого атрибута, тем подарок дороже.
На скриншоте видно, что подарки далеко не дешевые. Так, 50 тыс. звезд Telegram в рублевом эквиваленте составляет ₽82 тыс. Это и привлекает внимание злоумышленников.
Мошенники заинтересованы в воровстве всех типов подарков, т.к. из любого подарка можно извлечь реальную прибыль.
Как воруют NFT-подарки
Мы кратко разобрали, что именно воруют злоумышленники, а теперь посмотрим, каким образом это происходит и какие инструменты используются.
В первую очередь целесообразно рассмотреть, что из софта применяют мошенники.
В апрельском обновлении Telegram в API были добавлены методы для ботов, которые могут быть использованы в нелегитимных целях. Вот некоторые методы, необходимые для понимания работы инструментов:
BusinessConnection — описывает связь бота с бизнес-аккаунтом.
GetBusinessAccountGifts — возвращает подарки, полученные и принадлежащие управляемому бизнес-аккаунту;
transferBusinessAccountStars и GetBusinessAccountStarBalance — переводит Telegram Stars с баланса бизнес-аккаунта на баланс бота, что позволяет боту проводить транзакции;
transferGift — передаёт принадлежащий владельцу уникальный подарок другому пользователю;
convertGiftToStars и UpgradeGift — обеспечивает взаимодействие с подарками, в том числе конвертацию обычных подарков в звёзды или улучшение редких подарков до уникальных.
Некоторые из читателей могут распознать в предназначении этих методов основу для такого инструмента, как дрейнер.
Дрейнер — это вредоносное ПО или автоматизированные скрипты, предназначенные для быстрого и скрытого опустошения цифровых счетов, кошельков или хранилищ ценностей. Их основная задача — незаметно похищать активы (криптовалюту, электронные деньги, игровые ценности и т. д.) и переводить их на контролируемые злоумышленниками ресурсы.
Всё, что необходимо для использования данных методов, — это наличие бизнес-мода у бота, который активируется только с Telegram Premium. Именно подключенный бизнес-мод позволяет передавать, продавать, улучшать и конвертировать подарки. А что самое главное, для активации всех действий дрейнера нужна только переписка жертвы с ботом в последние 24 часа, но этого времени достаточно для вывода всех NFT.
Код подобных ботов-дрейнеров активно распространяется по цене от $10 на форумах в теневой части Интернета.
Разберем python-код одного из добытых нами дрейнеров. Код представляет собой Telegram-бота для бизнес-аккаунтов, разработанного на базе фреймворка aiogram 3.x.
Основная цель — автоматизированное управление подарками и звёздами, включая их сбор, конвертацию и перевод. Как мы ранее отмечали, в основе работы лежит обработка подключения бизнес-аккаунта через бизнес-режим Telegram. При подключении бот сохраняет данные подключения жертв в файл business_connections.json, включая user_id, business_connection_id и username, а затем уведомляет администратора о новом подключении. Уведомление содержит количество звёзд, общее число обычных и уникальных подарков, а также предоставляет интерактивные кнопки для массовой конвертации подарков в звёзды, апгрейда или вывода всех подарков.
Интерфейс бота:
Бот активно использует ранее описанные методы Telegram Business API для работы с подарками: GetBusinessAccountGifts, ConvertGiftToStars, TransferGift, а также для получения баланса звёзд (GetBusinessAccountStarBalance).
Алгоритм работы построен так, что неуникальные подарки автоматически конвертируются в звёзды, а уникальные пересылаются на указанный task_id. Аналогично проверяется наличие звёзд на балансе и при необходимости выполняется их вывод.
Подходы социальной инженерии для кражи NFT-подарков
Мы узнали об основном инструменте, используемом злоумышленниками, а теперь давайте рассмотрим схемы социнженерии, которые применяют мошенники.
Начало диалога с жертвой может быть самое разное: от просьбы подписаться на Telegram-канал и оставить отзыв до уже ставших классическими голосований в «фото-баттлах» или просто скупки NFT.
Злоумышленники почти всегда стремятся вовлечь жертву во взаимодействие с дрейнер-ботом. Чаще всего это происходит через прямую ссылку на Telegram-бота, однако встречаются и более изощрённые подходы — например, пересылка сообщений от самого бота с кнопками «получения подарка» или «активации чека», за которыми скрыт запуск команды /start.
Некоторые мошенники демонстрируют поразительную невнимательность: они не только плохо ориентируются в работе собственного бота (так и не придумав легенду), но и забывают, что уже вели переписку с жертвой ранее.
Ниже приведён пример того, как один и тот же злоумышленник с двух разных аккаунтов пытался взаимодействовать с жертвой. Целесообразно отметить, что аккаунты имели одинаковое оформление (фото и имя).
Но как злоумышленники находят пользователей с подарками?
В первую очередь — через различные чаты, в которых ведётся обсуждение о продаже уникальных подарков. В них в ручном режиме злоумышленник находит цель для развития диалога и перевода в бота-дрейнера. Это таргетная аудитория, которая и нужна искателям легкой наживы.
Также на площадках и форумах остаются популярны обсуждения парсер-скриптов по каналам и сообществам мессенджера. Большинство парсеров могут собирать списки id пользователей из чатов, а также комментариев под постами.
Все эти инструменты позволяют получить список пользователей, но как в автоматическом режиме мошенники узнают, есть ли у пользователей необходимые NFT-подарки?
Для этого используется недавно добавленный метод getUserStarGifts, который позволяет получить по id информацию обо всех подарках, полученных пользователем.
Единственное, что нужно для реализации этого метода в действии, — написать небольшой python-код на одном из популярных фреймворков, содержащий api_id и api_hash telegram App, который легко можно зарегистрировать на официальной платформе my.telegram.org.
В ходе расследования было отмечено, что злоумышленники чаще всего используют нейросети при написании кода, т. к. на форумах обсуждаются качественные показатели работы ИИ на данном направлении.
В настоящее время мы наблюдаем устойчивую тенденцию повышения эффективности новой мошеннической схемы, которая активно набирает обороты в мессенджере Telegram. Её особенность в том, что злоумышленникам удаётся извлекать реальную финансовую выгоду без использования каких-либо сложных технических инструментов. Более того, для её реализации достаточно минимального уровня знаний в области социальной инженерии и технических навыков.
Главный совет, чтобы уберечь свои уникальные подарки от желающих легкой наживы, — будьте бдительны, не переходите по незнакомым ссылкам и тем более в сомнительные Telegram-боты.