Исследователи «Лаборатории Касперского» обнаружили новую массовую схему угона Telegram-аккаунтов. Атака полностью происходит внутри мессенджера — через встроенные веб-приложения и социальную инженерию, без каких-либо внешних фишинговых сайтов.
Схема работает следующим образом: один из участников группового чата (где люди не знакомы друг с другом лично) публикует сообщение о том, что чат якобы переезжает — администратор потерял доступ к аккаунту, и нужно перейти в новый чат по ссылке. Такая ссылка открывает встроенное в Telegram веб-приложение с полем для ввода пятизначного кода — это код добавления в аккаунт нового устройства, который привязывает его к учетной записи жертвы.
Если пользователь вводит цифры, злоумышленники получают доступ к его учетной записи. После этого они рассылают то же сообщение от имени жертвы по всем групповым чатам, в которых она состоит.
На первом этапе атакующие не могут полностью читать переписку владельца аккаунта или заблокировать его устройства. Однако со временем возможности совершать действия у них появляются, вплоть до полного «выброса» пользователя из собственного аккаунта.
Специалисты предупреждают, что главная опасность схемы — в отсутствии внешних признаков фишинга. Атака целиком реализована через Telegram и встроенное веб-приложение, то есть ни один сторонний ресурс не задействован. Расчет строится на том, что в больших чатах сообщение о вынужденном переезде не вызовет подозрений — истории с потерей доступа к чатам и аккаунтам действительно случаются регулярно.
«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников. Например, их могут использовать, чтобы от лица жертвы писать по списку ее контактов с просьбой о финансовой помощи либо чтобы изучать данные в чатах и выяснять, как можно их монетизировать. Возможен вариант компрометации деловой переписки, например, мошенники могут подменять банковские реквизиты. Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надежные защитные решения», — отметил Сергей Голованов (Sergey Golovanov), главный эксперт «Лаборатории Касперского».
