В России распространяется новый способ угона Telegram-аккаунтов. Злоумышленники создают учётные записи, по оформлению похожие на служебные аккаунты мессенджера, и от их имени рассылают фишинговые сообщения, в которых предупреждают о том, что кто-то инициировал процедуру удаления аккаунта жертвы и та вот-вот потеряет все данные, включая историю переписок, контакты и т.п. Но есть последний шанс всё отменить: достаточно перейти по ссылке...
Ссылка, естественно, фишинговая, и по ней предлагается залогиниться через Telegram, введя одноразовый пароль. Если это сделать, то аккаунт жертвы попадает в руки злоумышленников, которые тут же перепривязывают его к другому телефонному номеру. Поэтому попытка снова войти по своему же номеру лишь создаёт жертве новый пустой аккаунт. А угнанный используется для «обработки» списка контактов методами социальной инженерии — в основном тоже предлагают перейти по фишинговым ссылкам под разными предлогами.
Способ защиты от такой схемы угона традиционно прост: во-первых, устанавливаем двухфакторную авторизацию (облачный пароль), который всегда запрашивается при попытке входа на другом устройстве и который вводить можно только если вы действительно входите с какого-то устройства и оно у вас в руках. Во-вторых, имеем в виду, что функция удаления учётной записи в Telegram действительно есть, однако инициировать его можете только вы, а не кто-то ещё. При этом функция спрятана довольно глубоко в настройках, поэтому случайно запустить её практически невозможно.
Если же вам прислал сообщение со ссылкой кто-то из вашего списка контактов, к этому тоже стоит отнестись настороженно. Самый лучший способ — связаться с человеком по альтернативным каналам, например, позвонить голосом и спросить, действительно ли он просит за кого-то проголосовать или что-то подобное?
Также очень полезно «пробивать» присылаемые ссылки при помощи Whois-сервисов. Как правило, фишинговые домены живут не дольше нескольких дней, поэтому свежезарегистрированное имя в 99,9% случаев означает, что вас хотят обмануть. Впрочем, сейчас мошенники становятся хитрее: они регистрируют домены и используют их не сразу, а дают «отстояться» несколько месяцев или даже лет. Кроме того, они покупают заброшенные сайты, у которых домены могут быть очень старыми. Поэтому включаем логику: обычно само доменное имя, используемое жуликами, либо выглядит очень коряво, с дефисами и неправильными написаниями английских слов, либо его значение далеко от тематики лендинга — вряд ли реальное голосование за фотографии будет размещено на домене типа «melbourne-coffeeshop.com»
В конце прошлого года специалисты команды мониторинга и реагирования на инциденты информационной безопасности F.A.C.C.T. выявили не менее 50 доменов для кражи учетных записей в Telegram, а также более 20 активных сайтов с различными легендами о голосовании в конкурсах, которые вели на ресурсы с фишинговыми формами для авторизации через Telegram. Также замечены регистрации доменов и фишинговых форм для угона аккаунтов WhatsApp.
«Если летом злоумышленники чаще использовали темы детских конкурсов, то сейчас уже тематика семьи, бизнеса, профессиональных навыков. Для охвата большей аудитории злоумышленники продолжают создавать чаты в Telegram со ссылками на фишинговые ресурсы, в которые сами добавляют жертв, если у тех нет соответствующего запрета в настройках», – отметил Иван Лебедев, руководитель группы CERT-F.A.C.C.T. по защите от фишинга.
С неймингом таких чатов злоумышленники долго не думали: чтобы такие каналы было труднее обнаружить, они называют их «Добрый день!», «Доброе утро!» и пр. Автор поста – угнанный Telegram-аккаунт, за который просят проголосовать со словами: «Минута вашего времени приблизит меня к победе». В обсуждении кто-то из комментаторов, скорее всего, тоже с украденной учетной записи в мессенджере отвечает «Проголосовала, мне не сложно», чтобы откликнулось больше жертв.
В целом стоит отметить, что даже если живой человек просит вас проголосовать за него в реальном конкурсе, нужно всегда голосовать за его конкурента, поскольку все эти накрученные голоса уничтожают саму суть конкурса, в котором победит не самый достойный, а тот, кто заспамил ссылкой больше своих друзей и знакомых. Поэтому если вы хотите провести конкурс в соцсетях — используйте другие механики.