Злоумышленники обновили давно известную схему кражи учётных записей Telegram и других мессенджеров. Предлог для перехода по ссылке остался прежним — «голосование за ребёнка», однако теперь для дополнительного вовлечения используется новый повод: получение гранта на дорогостоящее лечение. Основной мишенью этой кампании являются журналисты и блогеры.
Таким способом злоумышленники также могут пытаться получить административный доступ к новостным телеграм-каналам, чтобы затем распространять через них фейковые сообщения или мошенническую рекламу.
В целом схема с «голосованием» за последние четыре года почти не изменилась. Со взломанной учётной записи пользователю приходит сообщение следующего содержания:
«Привет, хочу попросить тебя. В благотворительном соревновании рисунков участвует девочка моих родственников — Настя. Занять первое место — это возможность получить грант на лечение».
Сообщение содержит фишинговую ссылку. При переходе по ней запускается процедура восстановления аккаунта, которой злоумышленники и пользуются для его кражи.
Принципиально новым элементом этой схемы стало именно упоминание гранта на лечение. Оно нужно для эмоционального вовлечения жертвы и повышения эффективности атаки.
Как отметил Евгений Егоров, для работы этой схемы злоумышленники развернули сеть из 290 доменов в зонах .com.tr, .xyz, .shop, .cyou, .cfd и .icu. Все они копируют дизайн страницы входа в Telegram с авторизацией по номеру телефона.
При этом вместо надписи «Вход в Telegram» на мошенническом сайте используется обозначение «Система проверки голосов». Под предлогом подтверждения участия пользователя просят ввести код из СМС. На деле это код подтверждения для подключения нового устройства к аккаунту Telegram. Если ввести его на таком сайте, злоумышленники получают полный доступ к учётной записи.
