0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Ваши данные теперь говорят по-китайски. Хакеры масштабировали кражу Telegram-профилей на весь мир

leer en español

CYFIRMA Telegram фишинг захват аккаунтов авторизация QR-код социальная инженерия
Ваши данные теперь говорят по-китайски. Хакеры масштабировали кражу Telegram-профилей на весь мир
CYFIRMA Telegram фишинг захват аккаунтов авторизация QR-код социальная инженерия

Для захвата контроля больше не требуются вирусы и уязвимости.

image

Специалисты компании CYFIRMA зафиксировали новую волну фишинговых атак, нацеленных на пользователей Telegram. Кампания построена так, чтобы выглядеть максимально правдоподобно и использовать штатные механизмы авторизации сервиса. За счёт этого злоумышленники получают полный доступ к учётным записям без вредоносных программ и технических уязвимостей.

Атака опирается на легитимные процессы входа в Telegram. Пользователю показывают страницу, имитирующую интерфейс мессенджера, и предлагают войти через QR-код или ввод номера телефона и кода подтверждения. В обоих вариантах задействуются реальные запросы к системе авторизации Telegram, но с использованием подконтрольных атакующим параметров API. После этого на смартфон жертвы приходит стандартное уведомление с запросом подтверждения входа. Если разрешение выдано, посторонние сразу получают действующую сессию.

Авторы отчёта отмечают, что решающим элементом становится социальная инженерия. Поддельные страницы сопровождают процесс подсказками о «проверке безопасности» или «подтверждении учётной записи». Такое оформление снижает настороженность и подталкивает согласиться с запросом внутри официального приложения. С технической точки зрения вход выглядит корректным, поэтому аномалии почти не заметны.

Инфраструктура кампании централизована и работает по шаблону. Конфигурация подгружается с удалённого сервера и позволяет быстро разворачивать копии сайтов на новых доменах. Зафиксирована многоязычная поддержка, включая китайскую локализацию. Это указывает на расчёт на международный охват. Ранее похожие операции уже приводили к массовому перехвату аккаунтов, после чего взломанные профили использовались для рассылки новых ссылок по контактам и группам.

По наблюдениям CYFIRMA, текущая активность повторяет знакомую модель перезапуска. Меняются адреса сайтов, но логика работы и сценарии обмана остаются прежними. Такой подход позволяет быстро восстанавливать сеть ловушек после блокировок. В дальнейшем ожидается расширение языковых версий и появление новых легенд, связанных с восстановлением доступа и проверкой устройств.

Аналитики подчёркивают, что всё чаще злоумышленники выбирают не взлом, а злоупотребление штатными функциями платформ. Это усложняет обнаружение атак и повышает вероятность успешного захвата учётных записей даже при включённой дополнительной защите.