Киберпреступники переходят из дарквеба в Telegram

Екатерина Быстрова 20 Сентября 2021 - 08:48

Домашние пользователи

Корпорации

Утечки информации

Умышленные утечки информации

Кража данных

...

Киберпреступники переходят из дарквеба в Telegram

Новое исследование показало, что мессенджер Telegram, который изначально позиционировался как более защищённая альтернатива WhatsApp, теперь становится пристанищем для киберпреступников.

Свои выводы в отчёте представили специалисты компании Cyberint. По словам исследователей, злоумышленники продают данные в Telegram, а также размещают там информацию о различных утечках. Причина кроется в простоте использования и отсутствии строгой модерации в мессенджере.

В прошлом дампы различных утечек можно было встретить на форумах дарквеба, куда преступники получают доступ с помощью специальных браузеров и учётных данных. Хакеры любят дарквеб за его закрытость и обособленность.

Telegram же направил эту деятельность немного в другое русло. Это приложение легко скачать и настроить, а «секретные» чаты защищаются сквозным шифрованием. У групповых переписок нет такой защиты, но чтобы попасть в них, пользователю понадобится приглашение или специальная ссылка. Кроме того, Telegram позволяет создать по-настоящему вместительные группы, число участников которых может доходить до 200 тысяч.

Именно в этом, по мнению аналитиков Cyberint, заключается причина перехода киберпреступников в Telegram. Один из экспертов Тал Самра даже сообщил о более чем 100-процентном росте использования мессенджера в хакерских целях.

В частности, исследователи отсылают нас к Telegram-каналу под названием “combolist”, который на момент закрытия насчитывал около 47 тысяч участников. Именно в таких каналах киберпреступники делятся информацией об утечках.

Также в Cyberint сообщили, что дарквеб сам провоцирует подобный рост использования Telegram в киберпреступных целях. Например, специалисты зафиксировали скачок числа ссылок на группы в этом мессенджере, размещённые на форумах «тёмной сети». За последний год, например, их количество выросло более чем на 172 тыс.

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Екатерина Быстрова 09 Февраля 2026 - 10:33

Фишинг Социальная инженерия Мошенничество Онлайн-мошенничество Домашние пользователи

Новая атака в Telegram использует официальную аутентификацию мессенджера

Эксперты зафиксировали новую и довольно изощрённую фишинговую кампанию в Telegram, которая уже активно используется против пользователей по всему миру. Главная особенность атаки в том, что злоумышленники не взламывают мессенджер и не подделывают его интерфейс, а аккуратно используют официальные механизмы аутентификации Telegram.

Как выяснили аналитики компании CYFIRMA, атакующие регистрируют собственные API-ключи Telegram (api_id и api_hash) и с их помощью инициируют реальные попытки входа через инфраструктуру самого мессенджера. Дальше всё зависит от того, как именно жертву заманят на фишинговую страницу.

Всего специалисты наткнулись на два подобных сценария. В первом случае пользователю показывают QR-код в стиле Telegram, якобы для входа в аккаунт. После сканирования кода в мобильном приложении запускается легитимная сессия, но уже на стороне злоумышленника.

Во втором варианте жертву просят вручную ввести номер телефона, одноразовый код или пароль двухфакторной защиты. Все эти данные тут же передаются в официальные API Telegram.

Ключевой момент атаки наступает позже. Telegram, как и положено, отправляет пользователю системное уведомление в приложении с просьбой подтвердить вход с нового устройства. И вот тут в дело вступает социальная инженерия. Фишинговый сайт заранее подсказывает, что это якобы «проверка безопасности» или «обязательная верификация», и убеждает нажать кнопку подтверждения.

В итоге пользователь сам нажимает «Это я» и официально разрешает доступ к своему аккаунту. Никакого взлома, обхода шифрования или эксплуатации уязвимостей не требуется: сессия выглядит полностью легитимной, потому что её одобрил владелец аккаунта.

По данным CYFIRMA, кампания хорошо организована и построена по модульному принципу. Бэкенд централизованный, а домены можно быстро менять, не затрагивая логику атаки. Такой подход усложняет обнаружение и блокировку инфраструктуры.

После захвата аккаунта злоумышленники, как правило, используют его для рассылки фишинговых ссылок контактам жертвы, что позволяет атаке быстро распространяться дальше — уже от лица доверенного пользователя.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »