«Админ всё потерял, переходим в новый чат». Если увидите такое сообщение — бегите (или хотя бы не вводите код)

Эксперты «Лаборатории Касперского» предупредили о новой массовой схеме угона аккаунтов в Telegram, которая опирается на встроенные веб-приложения мессенджера и социальную инженерию. По данным специалистов, всплеск активности таких атак они заметили в конце прошлой недели: пользователям стали приходить сообщения с призывом ввести код «для верификации» прямо во встроенном приложении Telegram.

Сценарий выглядит правдоподобно и рассчитан на большие групповые чаты, где участники друг друга лично не знают. Один из участников (или уже скомпрометированный аккаунт) пишет, что чат якобы вынужденно переносят из-за потери доступа к аккаунту администратора, и предлагает перейти по ссылке с текстом вроде «Перейти в новосозданный чат». По клику открывается окно встроенного приложения Telegram, где просят ввести пятизначный код. На самом деле это код, который используется для добавления нового устройства к аккаунту. Если жертва вводит эти цифры, злоумышленники получают доступ к её учётной записи и начинают рассылать ту же «легенду» уже от имени взломанного пользователя, заражая цепочкой другие чаты.

При этом захват происходит не мгновенно во всех смыслах. Сначала атакующие получают доступ к аккаунту, чтобы продолжать распространение схемы, но не всегда могут сразу полностью читать переписку и блокировать устройства владельца. Однако спустя некоторое время у них появляется возможность расширить контроль, в том числе «выбросить» пользователя из аккаунта.

Отдельный риск в том, что формально это не классический фишинг с поддельным сайтом. Зловредный сценарий находится внутри экосистемы Telegram: пользователь переходит по ссылке Telegram и видит привычный интерфейс встроенного приложения. Расчёт на психологию простой: новости о взломах аккаунтов и чатов давно стали обыденностью, поэтому просьба «срочно пересоздать чат» многим кажется правдоподобной, особенно в шумном информационном потоке.

В «Лаборатории Касперского» напоминают, что аккаунты в популярных мессенджерах остаются выгодной целью. Их используют и для банальных просьб «занять денег» контактам от лица жертвы, и для более сложных сценариев, включая анализ переписок и попытки монетизации доступа. В деловой среде риски ещё выше: компрометация рабочих чатов может привести, например, к подмене платёжных реквизитов.

Если пользователь уже перешёл по ссылке и ввёл код, шанс вернуть контроль остаётся, но действовать нужно максимально быстро. Рекомендация такая: открыть Telegram и перейти в «Настройки» -> «Конфиденциальность» -> «Активные сессии», после чего нажать «Завершить все другие сеансы». Это может разорвать доступ для подключённого злоумышленниками устройства, если они ещё не успели закрепиться и сменить параметры безопасности.