Одна из распространённых схем фишинга в Telegram — это атаки под видом онлайн‑голосований. Пользователю приходит сообщение с просьбой поддержать участника конкурса (например, детских рисунков) и перейти по ссылке. К сожалению, эта схема реально действует и использует сайты вроде risunki-sveta.space.

Далее пользователь попадает на сайт, визуально оформленный как страница конкурса. В качестве примера — https://risunki-sveta.space/rus-deti/5, где размещена информация о «конкурсе» и кнопка «Перейти к голосованию».

страница конкурса
страница конкурса

После нажатия на кнопку предлагается выбрать участника. Этот шаг нужен для вовлечения пользователя и имитации реального процесса голосования.

выбор участника
выбор участника

Следующий этап — редирект на промежуточную страницу (например, https://risunki-sveta.space/rus-deti/c0zoJML), после чего открывается фишинговая форма, имитирующая авторизацию Telegram (https://risunki-sveta.space/rus-deti/H3uwg4h?swfix=3).

На поддельной странице пользователю предлагается ввести номер телефона или выполнить вход через QR-код. Визуально форма максимально приближена к оригинальному интерфейсу Telegram, что снижает вероятность подозрений. После ввода данных или сканирования QR-кода злоумышленники получают доступ к аккаунту, который далее используется для рассылки аналогичных сообщений и масштабирования атаки.

домен и URL фишинговой страницы
домен и URL фишинговой страницы

Помимо самой страницы с голосованием, в этой схеме работают ещё несколько скрытых «механизмов». Например, данные жертвы отправляются на адреса https://venus.risunki-sveta.space/apiw1 и https://kws2.risunki-sveta.space/apiws, а специальный JavaScript (https://risunki-sveta.space/f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) обрабатывает ввод, делает форму «живой» и передаёт всё злоумышленникам. То есть это не просто страница — вся цепочка устроена так, чтобы выловить данные пользователя и получить контроль над аккаунтом Telegram.

IOC:

  • IP: 94.26.35.117, 94.26.35.116, 85.206.164.29

  • Домены: risunki-sveta.space, machine.sparkart-sun.shop

Подобная схема остаётся эффективной за счёт доверия пользователей к Telegram и привычного сценария «голосования». Даже базовая проверка URL позволяет выявить подмену и избежать компрометации аккаунта.