- Специальный корреспондент
Для захвата контроля больше не требуются вирусы и уязвимости.
Специалисты компании CYFIRMA зафиксировали новую волну фишинговых атак, нацеленных на пользователей Telegram. Кампания построена так, чтобы выглядеть максимально правдоподобно и использовать штатные механизмы авторизации сервиса. За счёт этого злоумышленники получают полный доступ к учётным записям без вредоносных программ и технических уязвимостей.
Атака опирается на легитимные процессы входа в Telegram. Пользователю показывают страницу, имитирующую интерфейс мессенджера, и предлагают войти через QR-код или ввод номера телефона и кода подтверждения. В обоих вариантах задействуются реальные запросы к системе авторизации Telegram, но с использованием подконтрольных атакующим параметров API. После этого на смартфон жертвы приходит стандартное уведомление с запросом подтверждения входа. Если разрешение выдано, посторонние сразу получают действующую сессию.
Авторы отчёта отмечают, что решающим элементом становится социальная инженерия. Поддельные страницы сопровождают процесс подсказками о «проверке безопасности» или «подтверждении учётной записи». Такое оформление снижает настороженность и подталкивает согласиться с запросом внутри официального приложения. С технической точки зрения вход выглядит корректным, поэтому аномалии почти не заметны.
Инфраструктура кампании централизована и работает по шаблону. Конфигурация подгружается с удалённого сервера и позволяет быстро разворачивать копии сайтов на новых доменах. Зафиксирована многоязычная поддержка, включая китайскую локализацию. Это указывает на расчёт на международный охват. Ранее похожие операции уже приводили к массовому перехвату аккаунтов, после чего взломанные профили использовались для рассылки новых ссылок по контактам и группам.
По наблюдениям CYFIRMA, текущая активность повторяет знакомую модель перезапуска. Меняются адреса сайтов, но логика работы и сценарии обмана остаются прежними. Такой подход позволяет быстро восстанавливать сеть ловушек после блокировок. В дальнейшем ожидается расширение языковых версий и появление новых легенд, связанных с восстановлением доступа и проверкой устройств.
Аналитики подчёркивают, что всё чаще злоумышленники выбирают не взлом, а злоупотребление штатными функциями платформ. Это усложняет обнаружение атак и повышает вероятность успешного захвата учётных записей даже при включённой дополнительной защите.
Источник
Специалисты компании CYFIRMA зафиксировали новую волну фишинговых атак, нацеленных на пользователей Telegram. Кампания построена так, чтобы выглядеть максимально правдоподобно и использовать штатные механизмы авторизации сервиса. За счёт этого злоумышленники получают полный доступ к учётным записям без вредоносных программ и технических уязвимостей.
Атака опирается на легитимные процессы входа в Telegram. Пользователю показывают страницу, имитирующую интерфейс мессенджера, и предлагают войти через QR-код или ввод номера телефона и кода подтверждения. В обоих вариантах задействуются реальные запросы к системе авторизации Telegram, но с использованием подконтрольных атакующим параметров API. После этого на смартфон жертвы приходит стандартное уведомление с запросом подтверждения входа. Если разрешение выдано, посторонние сразу получают действующую сессию.
Авторы отчёта отмечают, что решающим элементом становится социальная инженерия. Поддельные страницы сопровождают процесс подсказками о «проверке безопасности» или «подтверждении учётной записи». Такое оформление снижает настороженность и подталкивает согласиться с запросом внутри официального приложения. С технической точки зрения вход выглядит корректным, поэтому аномалии почти не заметны.
Инфраструктура кампании централизована и работает по шаблону. Конфигурация подгружается с удалённого сервера и позволяет быстро разворачивать копии сайтов на новых доменах. Зафиксирована многоязычная поддержка, включая китайскую локализацию. Это указывает на расчёт на международный охват. Ранее похожие операции уже приводили к массовому перехвату аккаунтов, после чего взломанные профили использовались для рассылки новых ссылок по контактам и группам.
По наблюдениям CYFIRMA, текущая активность повторяет знакомую модель перезапуска. Меняются адреса сайтов, но логика работы и сценарии обмана остаются прежними. Такой подход позволяет быстро восстанавливать сеть ловушек после блокировок. В дальнейшем ожидается расширение языковых версий и появление новых легенд, связанных с восстановлением доступа и проверкой устройств.
Аналитики подчёркивают, что всё чаще злоумышленники выбирают не взлом, а злоупотребление штатными функциями платформ. Это усложняет обнаружение атак и повышает вероятность успешного захвата учётных записей даже при включённой дополнительной защите.
Источник
