Злоумышленники обновили схему угона аккаунтов в Telegram

Злоумышленники обновили давно известную схему кражи учётных записей Telegram и других мессенджеров. Предлог для перехода по ссылке остался прежним — «голосование за ребёнка», однако теперь для дополнительного вовлечения используется новый повод: получение гранта на дорогостоящее лечение. Основной мишенью этой кампании являются журналисты и блогеры.

Таким способом злоумышленники также могут пытаться получить административный доступ к новостным телеграм-каналам, чтобы затем распространять через них фейковые сообщения или мошенническую рекламу.

В целом схема с «голосованием» за последние четыре года почти не изменилась. Со взломанной учётной записи пользователю приходит сообщение следующего содержания:

«Привет, хочу попросить тебя. В благотворительном соревновании рисунков участвует девочка моих родственников — Настя. Занять первое место — это возможность получить грант на лечение».

Сообщение содержит фишинговую ссылку. При переходе по ней запускается процедура восстановления аккаунта, которой злоумышленники и пользуются для его кражи.

Принципиально новым элементом этой схемы стало именно упоминание гранта на лечение. Оно нужно для эмоционального вовлечения жертвы и повышения эффективности атаки.

Как отметил Евгений Егоров, для работы этой схемы злоумышленники развернули сеть из 290 доменов в зонах .com.tr, .xyz, .shop, .cyou, .cfd и .icu. Все они копируют дизайн страницы входа в Telegram с авторизацией по номеру телефона.

При этом вместо надписи «Вход в Telegram» на мошенническом сайте используется обозначение «Система проверки голосов». Под предлогом подтверждения участия пользователя просят ввести код из СМС. На деле это код подтверждения для подключения нового устройства к аккаунту Telegram. Если ввести его на таком сайте, злоумышленники получают полный доступ к учётной записи.