Автор Telegram-канала Dressed to Kill рассказала, как мошенник завладел ее данными
100% Global Look Press Все чаще встречаются истории пользователей, которых взломали в Telegram. Автор популярного канала с 40-тысячной аудиторией рассказала «Газете.Ru», как злоумышленник обманом получил к нему доступ и начал вымогать деньги у подписчиков. О том, как крадут доступ к личным профилям и Telegram-каналам, а также о реакции поддержки Telegram и предостережениях ИБ-экспертов — в этом материале.
, фишинг и умножение капитала
В популярном Telegram-канале о моде Dressed to Kill в середине июля появилось сообщение, в котором от лица администратора предлагалось «преумножить капитал». Как оказалось, канал был перехвачен мошенником, который представился заинтересованным в рекламе человеком.
По словам автора Dressed to Kill Екатерины Лемех, перед покупкой рекламы злоумышленник просил предоставить ему статистику по каналу с помощью инструмента Telemetr-plus, на который он отправил ссылку. При этом сайт не вызвал у девушки никаких подозрений, так как с виду все выглядело так же, как и у аналогичных ресурсов, предоставляющих статистические данные. Когда девушка решила зайти в Telegram, у нее открылось окно регистрации, будто бы она никогда там не была зарегистрирована.
Затем с девушкой связался мошенник, который вымогал деньги и говорил, что пока владелец канала не заплатит, он будет «насиловать ее аудиторию». В беседе с «Газетой.Ru» Лемех уточнила, что, как только злоумышленники получили доступ к ее странице, они передали управление каналом на другой аккаунт под старым ником, а ее страницу удалили.
«Поэтому подписчики не заметили подмены, ведь ник «админа» и фото остались прежние», — подчеркивает Лемех.
Как оказалось, мошенники опубликовали в Dressed to Kill «прогрев» к посту, который поможет подписчикам канала преумножить свой капитал в 8-12 раз. За подобную услугу фейковый админ просил 15% от от чистой прибыли.
«В личные сообщения подписчикам они отправляли ссылку на бота. Это своеобразные «ставки» на повышение или понижение курса криптовалют. Начальный капитал от 15 тыс. руб. и выше. Вносишь деньги и якобы дальше играешь, а потом выводишь. Но соответственно деньги никакие не растут и не выводятся, на что мошенники говорят «пишите в поддержку бота», — рассказала Лемех.
Бот маскировался под Quotex — платформу для торговли цифровыми активами.
По ее словам, около десяти подписчиков Dressed to Kill стали жертвой мошенников, «пожертвовав» от 15 тыс. руб. Одна из подписчиц и вовсе перевела злоумышленникам 130 тыс. руб.
Общими усилиями Лемех и ее подписчиков удалось вернуть доступ к каналу. Но из-за жалоб на нем сейчас висит плашка «Scam». Такое сообщение выдается администрацией Telegram подозрительным каналам, на который поступало большое количество жалоб за мошенничество.
«Поддержка Telegram по почте не реагирует вообще. В самом мессенджере отвечают волонтеры, ни о каких официальных представителях речи не идет. Мой запрос висел пять дней без ответа, и ответили мне только потому, что я нашла девушку, которая занимается восстановлением аккаунтов, и она имеет к ним выходы. Теперь эта же девушка занимается удалением метки», — заключила Лемех.
Механика кражи канала
Директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко в беседе с «Газетой.Ru» назвал случай Dressed to Kill классическим примером фишинга, при котором создается поддельная страница, а жертву посредством социальной инженерии заставляют ввести в фейк свои данные.
«Надо сказать, что сейчас участилась кража аккаунтов и фишинга через Telegram: каналов много, пользователи заходят часто, поэтому количество «соприкосновений» мошенников с потенциальными жертвами во много раз превышает почту и соцсети», — отметил эксперт.
Эксперты Центра реагирования на инциденты CERT-GIB (24/7) компании Group-IB в беседе с «Газетой.Ru» заявили, что рассылаемый мошенниками под видом инструмента по предоставлению статистики Telegram-каналов ресурс Telemetr-plus вызывает подозрения.
«Настораживает сразу несколько моментов: ресурс был зарегистрирован 3 июля. Само доменное имя, зона и контент очень схож с сайтом telemetr.me, а некоторые изображения и вовсе подгружаются с него. Так обычно и «ведут себя» фишинговые сайты», — отметили эксперты.
Также при попытке выгрузить статистику о канале владельца просят заполнить достаточно простую форму: ввести ссылку на канал. После этого выдается предупреждение, что канала в базе нет и его необходимо туда добавить.
«Стоит отметить, что данная форма принимает любые введенные данные — никакой проверки на валидность нет. Далее просят пройти авторизацию, привязав канал с аккаунта владельца, якобы чтобы бот считал статистику канала. Осуществляется перенаправление на сайт hXXps://authorization-reg[.]com/oauth/telegram, который был зарегистрирован 10 дней назад, и на текущий момент фишинговый контент на ресурсе отсутствует. Однако, если посмотреть сохраненную копию данного ресурса, ранее на главной странице располагался «лендинг» якобы для подключения клиентов к партнерской программе по распространению рекламы. При попытке пройти дальше осуществлялся переход по упомянутой выше ссылке, которая, предположительно, и использовалась для «авторизации» через Telegram», — рассказали специалисты.
Вероятные схемы
Директор ассоциации профессиональных пользователей соцсетей и мессенджеров (АППСИМ) Владимир Зыков в беседе с «Газетой.Ru» выразил уверенность, что случай, произошедший с Dressed to Kill — не единственный. По словам эксперта, существует множество разных схем мошенничества, благодаря которым злоумышленники могут завладеть чужим аккаунтом и каналом в Telegram.
«Например, сейчас сезон отпусков, и пока владелец канала будет в самолете, злоумышленник может сделать дубликат SIM-карты, войти в Telegram, перерегистрировать канал на себя, а владельца удалить. К тому же, тут может быть под угрозой и персональная информация, в том числе интимные фотографии в переписках. Оригинальная SIM-карта деактивируется, но человек в самолете не сразу это заметит, к тому же, приземлившись, сложно будет ее восстановить, находясь за границей, так как для этого необходимо будет прийти в офис оператора», — отметил Зыков.
Эксперт предупредил, что злоумышленники также могут использовать схему размещения в общественном месте бесплатной Wi-Fi-сети, для подключения к которой потребуется авторизация по номеру. Однако при регистрации пользователь также рискует передать злоумышленникам свой логин и пароль.
«Очень много особенностей того как это можно использовать. Фишинг на то и фишинг, и мошенники постоянно придумывают хитроумные способы того, как заполучить логин и пароль», — заключил Зыков.
Как сохранить свой Telegram-аккаунт
В беседе с «Газетой.Ru» эксперт по кибербезопасности в «Лаборатории Касперского» Дмитрий Галов рассказал, что цели злоумышленников при взломе и краже Telegram-каналов могут быть разные, в том числе шантаж с получением дальнейшего выкупа за возвращение доступа к аккаунту.
«Украсть аккаунт могут с помощью приемов социальной инженерии, фишинга или же зловредов, которые получают удаленный доступ к устройству. Однако это не единственные возможные сценарии. В связи с этим мы призываем пользователей и владельцев аккаунтов в Telegram придерживаться определенных правил безопасности. Во-первых, следует включить двухфакторную аутентификацию: если злоумышленник попытается получить контроль над аккаунтом, кода верификации будет недостаточно, ему потребуется еще и пароль», — отметил эксперт.
Галов также рекомендует пользователям обратить внимание на раздел «Активные сеансы», чтобы видеть, на каких устройствах открыт аккаунт. Если отображается неизвестное или подозрительное устройство, необходимо завершить эту сессию и сменить пароль, если он был установлен.
Кроме того, не стоит переходить по подозрительным ссылкам в сообщениях, вводить на сомнительных страницах свои личные или учетные данные, даже если пишут с предложением о сотрудничестве. Также при малейших сомнениях следует проверять входящие файлы или архивы на наличие угроз, установив защитное решение на тех устройствах, на которых это возможно.