В Telegram замечена новая волна угонов аккаунтов. Цели атаки — российские медиаменеджеры, маркетологи, журналисты, пиарщики.
Что случилось?
В эти выходные специалисты Центра кибербезопасности F.A.C.C.T. обнаружили 462 домена для кражи учетных записей в Telegram с различными легендами о голосовании в конкурсах, которые вели на ресурсы с фишинговыми формами для авторизации.
Напомним, что массовые угоны аккаунтов с помощью голосований начались прошлым летом. Сначала мошенники использовали легенду с конкурсами детского рисунка, вокала или балета, а с декабря прошлого года переключились уже на более взрослые сценарии.
Как работает схема?
Жертву добавляли в группу и просили проголосовать на конкурсе "THE BEST PROJECT MANAGER" или "Marketing and PR Specialist". С неймингом таких чатов злоумышленники долго не думали: чтобы такие каналы было труднее обнаружить, они называют их "Всем привет", Добрый день всем", "Доброе утро!".
Еще один скриншот мошеннической группы
В одном из примеров ссылка вела на домен https://online-happy[.]ru, созданный три дня назад, где надо было выбрать одного из двух кандидатов.
Форма для голосования
Затем происходит редирект на другой ресурс, например, allance-online24[.]ru, где участнику голосования предлагают авторизоваться в Telegram через QR-код или отправку кода на телефон.
Так происходит компрометация аккаунта — или, проще говоря, его угон. Злоумышленники сразу отвязывают его от текущего номера и жертва теряет доступ к своим перепискам в мессенджере, контактам и сохраненным сообщениям, фото и видео.
Авторизация через QR-код
Авторизация через код
Как масштабировалась схема?
После угона аккаунта предложение поучастовать в голосовании отправлялось уже по базе контактов. То есть каждая новая жертва уже сама становится распространителем мошеннических объявлений.
Список мошеннических ресурсов
Начиная с декабря 2023 года, злоумышленники зарегистрировали 462 домена для голосования. Из них 85 — в феврале и 162 — в марте. Вот некоторые из ресурсов:
alliance-capital24[.]ru
alliance-happy[.]ru
alliance-happy24[.]ru
alliance-headway[.]ru
alliance-headway24[.]ru
alliance-luck[.]ru
alliance-luck24[.]ru
alliance-moscow24[.]ru
alliance-online24[.]ru
alliance-people[.]ru
alliance-people24[.]ru
alliance-russia24[.]ru
alliance-success[.]ru
alliance-success24[.]ru
bizxp[.]ru *до апреля 2018 году существовала связь с capital-alliance.ru
capital-alliance[.]ru
capital-alliance24[.]ru
capital-happy[.]ru
capital-happy24[.]ru
happy-alliance[.]ru
happy-alliance24[.]ru
happy-capital[.]ru
happy-capital24[.]ru
happy-moscow24[.]ru
happy-online24[.]ru
happy-people24[.]ru
happy-russia24[.]ru
happy-world24[.]ru
headway-alliance[.]ru
headway-alliance24[.]ru
luck-alliance[.]ru
luck-alliance24[.]ru
moscow-alliance24[.]ru
moscow-happy[.]ru
moscow-happy24[.]ru
online-alliance[.]ru
online-alliance24[.]ru
online-happy[.]ru
online-happy24[.]ru
people-alliance[.]ru
people-happy24[.]ru
russia-alliance[.]ru
russia-alliance24[.]ru
russia-happy[.]ru
russia-happy24[.]ru
success-alliance[.]ru
success-alliance24[.]ru
world-happy24[.]ru
Что нужно сделать, чтобы обезопасить себя?
Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и виртуальный пароль.
Не переходите по подозрительным ссылкам, не участвуйте в голосованиях и конкурсах.
Если вам написала родственница или коллега с просьбой проголосовать или поучаствовать в конкурсе — перепроверьте эту информацию.
Не сообщайте и не вводите на подозрительных ресурсах коды из СМС и пуш-уведомлений.
Если телеграм-аккаунт разлогинился, попробуйте снова войти, но, если это не получается — оперативно связывайтесь с техподдержкой!
