Ultrascan о масштабах «нигерийского» мошенничества

Ultrascan о масштабах «нигерийского» мошенничества

...

По оценке Ultrascan, число активных участников «нигерийских» трансграничных группировок превышает 300 тысяч, а количество их жертв исчисляется миллионами. В минувшем году глобальный ущерб от этого вида мошенничества превысил 9,3 млрд. долларов, тогда как в предыдущем составлял 6,3 млрд.

Реализация «нигерийских» схем дороже всех обходится американцам и англичанам, которые в прошлом году потеряли более 2,1 и 1,2 млрд. долларов соответственно. Для сравнения российские пользователи совокупно отдали мошенникам 105 млн. долларов. Ultrascan отмечает, что ее оценки финансовых убытков весьма скромны и не учитывают тяжелых последствий «нигерийских» атак, таких как потеря работы, банкротство, продажа имущества, не говоря уже о моральном ущербе.

За год голландские активисты расследовали более 8 тыс. жалоб, поданных жителями 152 стран, и обнаружили, что поле деятельности «нигерийцев» расширяется в восточном направлении. Основными темами мошеннических схем в Индии являются трудоустройство и получение студенческих виз, в Китае — лотереи и предоплата доставки товара. Жителей Южной Кореи и Вьетнама вовлекают в сомнительные аферы, связанные с поставкой сырья и услуг; присылают им фальшивые чеки, манят заокеанскими депозитами и сказочным наследством.

Большинство «нигерийских» скаммеров (250 тыс.), по оценке Ultrascan, проживают в Нигерии, остальные действуют с территории 69 стран. Из известных организованных группировок 72 действуют с территории Испании, 62 — из Великобритании, где предположительно скрывается более 5 тыс. «нигерийских» резидентов. Согласно статистике Ultrascan, количество участников мошеннических группировок в США и Гане превышает 2 тысячи, хотя в реальности их численность может достигать 11,5 и 4,3 тыс. соответственно. В России исследователи зафиксировали 6 действующих «нигерийских» группировок, в состав которых входят более 50 человек (по предположительным оценкам 280).

Результативней прочих работают британские и американские «нигерийцы»: их доходы в прошлом году составили около 1,3 и 1,14 млрд. долларов соответственно. Однако после дележа с партнерами больше всего награбленных капиталов осталось в Швейцарии — около 570 млн. По России эти цифры составляют 430 (до раздела) и 129 (после) млн. долларов.

Нередко «нигерийские» группировки, действующие с территории разных стран, объединяют свои усилия и ресурсы. Ultrascan отмечает, что международным центром отмывания денег, помимо Греции, теперь является Малайзия, конкретно — ее столичные банки. Зачастую «нигерийцы» оказываются владельцами национальных представительств Western Union или Moneygram. По консервативным оценкам, около 10% таких агентств осознанно пособничают скамерам, получая от них дивиденды.

Помимо служб денежных переводов, «нигерийцы» контролируют банки, интернет-кафе, таможни, агентства по продаже и прокату автомобилей, гостиницы. У одной из таких мошеннических группировок, занесенных в базу данных Ultrascan, есть свои люди в почтовой службе, в банке, кредитной организации, страховом агентстве, на транспорте, в нефтяной компании, в посольстве, аэропорту, полиции, службе иммиграции, клинической больнице, разведуправлении и государственном учреждении.

Говоря о категории мошенничества, связанной с рассылкой «нигерийских» писем (лотереи, наследство), исследователи отметили, что этот вид спама становится все более таргетированным. Структура и содержание мошеннической схемы варьируются в соответствии со спецификой конкретной группы пользователей. При этом сбор адресов и прочей пользовательской информации осуществляют, как правило, сами участники криминальной группировки, а для рассылки спама используются наемники.

Активисты с сожалением констатируют, что проблема «нигерийского» мошенничества приобрела небывалый размах, а злоумышленники пользуются полной безнаказанностью. Установить истинные размеры бедствия очень трудно: из-за многообразия форм и средств, которые используют «нигерийцы», нет объединенной статистики по этим способам злоупотребления людским доверием; не хватает независимых исследований, не создана единая база данных. Что касается защитных мер, то по тем же причинам в национальных законодательствах пока отсутствуют целевые законоположения; жалобы от пострадавших рассматриваются только в тех случаях, когда налицо значительный финансовый ущерб, а механизмы стимулирования подачи таких жалоб непопулярны.

Источник 

Telegram MCP-сервер fast-mcp-telegram пустил атакующих к телеграм-сессии

В fast-mcp-telegram нашли критическую уязвимость под идентификатором CVE-2026-52830: хотели защититься токенами bearer, а в итоге превратили токен в путь к файлу. В результате атакующий может получить доступ к MCP-сессии Telegram по HTTP без валидного закрытого токена.

Fast-mcp-telegram — это MCP-сервер, который подключает телеграм-аккаунты к ИИ-ассистентам и HTTP-клиентам через сессионную модель аутентификации.

В версиях до 0.19.0 включительно проверка токена устроена так: сервер берёт строку из Authorization: Bearer, добавляет к ней .session, склеивает с директорией сессий и проверяет, существует ли такой файл.

Проблема в том, что токен не нормализуется как безопасный идентификатор. Код запрещает некоторые зарезервированные имена, например telegram, но не блокирует слеши, «..», абсолютные пути и другие конструкции.

Вместо закрытого ключа сервер фактически принимает относительный путь в файловой системе. Отличный подарок для атакующего, плохая новость для владельца телеграм-аккаунта.

В типичной конфигурации дефолтная сессия лежит в файле ~/.config/fast-mcp-telegram/telegram.session. Прямой токен telegram отклоняется, но обходной вариант вроде ../fast-mcp-telegram/telegram может схлопнуться файловой системой в тот же самый файл. Если файл существует, сервер принимает такой токен и аутентифицирует атакующего как дефолтный телеграм-аккаунт.

После этого злоумышленник может читать и отправлять сообщения, вызывать MTProto API и использовать доступные инструменты, привязанные к этой сессии. Защита на уровне префиксов инструментов тут уже не спасает: она срабатывает после аутентификации, а дверь к аккаунту к тому моменту уже открыта.

Уязвимость затрагивает fast-mcp-telegram до версии 0.19.0 включительно. В версии 0.19.1 разработчики ужесточили проверку и начали обращаться с bearer-токенами как с непрозрачными идентификаторами, а не как с кусками пути.

Администраторам рекомендуют срочно обновиться, ротировать дефолтные и старые session-файлы, а также проверить логи на подозрительные bearer-значения со слешами и «…».

RSS: Новости на портале Anti-Malware.ru