«Код Дурова» совместно с экспертами «Лаборатории Касперского» решил основательно разобраться в природе «угонов» в Telegram. В этом материале мы расскажем о популярных приёмах мошенников, а также покажем, как им противостоять.
С ростом популярности любого сервиса увеличивается и количество мошенников в нём. Telegram не стал исключением, и пропорционально росту его аудитории мы стали получать всё больше обращений читателей об «угоне» их аккаунтов и каналов. Сейчас это примерно пара писем в неделю, в которых несчастные админы просят помощи и рассказывают свои грустные истории.
Для чего злоумышленникам ваш аккаунт в Telegram?
Атаки в Telegram можно разделить на две большие категории: целевые и массовые. Первые предполагают атаку на конкретного пользователя, вторые — на широкий круг потенциальных жертв. И те, и другие атаки в большинстве своём преследуют три цели:
Получить доступ к активам на аккаунте. В первую очередь к Telegram-каналам, если они у жертвы есть. Во вторую — к личным перепискам и хранящимся там данным.
Получить возможность маскироваться под пользователя в переписках и с использованием социальной инженерии совершать самые разные «шалости» — от просьбы близким перевести тысячу рублей до обсуждения деловых вопросов и получения доступа к коммерческим секретам.
Сделать аккаунт частью бот-фермы, то есть использовать его для увеличения количества читателей различных недобросовестных каналов или написания фейковых комментариев. К слову, это самый редкий сценарий.
Как хакеры получают доступ к аккаунтам?
Для угона аккаунта в Telegram злоумышленники чаще всего используют два приёма.
Первый — заражение компьютера жертвы троянцем, которое происходит в процессе общения между мошенником и его потенциальной жертвой. Например, злоумышленник представляется рекламодателем и узнаёт условия размещения поста в Telegram-канале. Спустя несколько минут он сообщает о готовности купить целый пакет размещений, усыпляя бдительность владельца канала, как правило думающего в этот момент уже не о цифровой гигиене, а о сумме, которая скоро придёт на его банковский счёт.
Затем мошенник присылает архив, внутри которого якобы содержится важная информация для размещения: пресс-релиз, презентация, бета-версия рекламируемого VPN-сервиса, реквизиты счёта или что-то ещё. При этом, по словам мошенника, его нужно оперативно открыть и желательно ещё и на Windows-компьютере. На самом же деле внутри находится вредонос, который помогает мошеннику «угнать» учётку в Telegram.
Читатели «Кода Дурова» прислали пару примеров таких архивов, которые мы переслали на анализ в «Лабораторию Касперского». И вот что там нам ответили:
В архивах обнаружили два троянца одного семейства — RedLine. Они могут воровать данные от учетной записи в Telegram и ряде VPN-приложений, токены Discord, криптокошельки, а также красть сохраненные пароли и файлы cookie из браузеров.
За последние три месяца мы зафиксировали уже более 33 тысяч атак с использованием троянца RedLine – речь идет о заблокированных попытках установить или скачать вредоносное ПО. При этом в августе мы наблюдаем всплеск по количеству атакованных пользователей. Чаще всего подвергаются атакам этого троянца пользователи в России, Индии, Алжире и Бразилии, — Денис Паринов, эксперт по кибербезопасности в «Лаборатории Касперского».
Второй распространённый способ угона — рассылка фишинговых ссылок. Кейс аналогичный: пишет рекламодатель, узнаёт условия размещения, а затем просит перейти по ссылке, чтобы зарегистрироваться на той или иной платформе для получения оплаты. При этом регистрация происходит с использованием данных для входа в Telegram.
Недавно мошенники усовершенствовали этот способ и теперь вместо регистрации на стороннем ресурсе просят специальный отчёт об эффективности и честности канала, которые можно получить в якобы продвинутом сервисе аналитики Telegram-каналов. Однако под ним скрывается фишинговый сайт, цель которого — ваши данные для входа в аккаунт.
Как защититься от злоумышленников?
Эксперты «Лаборатории Касперского» рекомендуют использовать две тактики защиты: технические средства и знания о кибергигиене. Мы составили для вас простую и понятную инфографику на эту тему:
Почему Telegram не пытается защитить своих пользователей?
Кто-то из наших читателей вполне может задаться этим вопросом и подумать, что Telegram попросту игнорирует угрозы пользователям. Однако это не так, ведь проблема на самом деле находится за пределами мессенджера.
Если мы говорим о первом сценарии «угона» аккаунта, то есть заражении компьютера, то Telegram не может ничего сделать, чтобы вас защитить:
Злоумышленникам не нужно атаковать сам Telegram. Когда у вас происходит активное заражение устройства, они могут получить доступ ко всем данным на нём, а в некоторых случаях даже управлять им удалённо.
То есть проблема не связана с безопасностью Telegram. Получив доступ к устройству, у вас могут украсть самые разные типы данных, — пояснил Дмитрий Галов, эксперт по кибербезопасности в «Лаборатории Касперского».
При этом Telegram, по мнению эксперта, уже «из коробки» предоставляет пользователям защиту, к примеру, информирует, что им пишет человек не из списка контактов, и (если есть подозрения) предлагает на него пожаловаться и внести в чёрный список.
Добавление новой функциональности по защите аккаунта — это всегда палка о двух концах. А именно о безопасности пользователя и пользовательского опыта. Есть пример встроенных мессенджеров в дейтинговых сервисах, приложениях с досками объявлений, в которых запрещено многое, чем пользуются мошенники: отправка ссылок, архивов и прочего. Но такой сценарий урезал бы мессенджер. Telegram удаётся находить аккуратный компромисс между всем этим, — добавил Галов.
Что делать, если мой аккаунт всё же «угнали»?
Если вы читаете этот материал уже после взлома, то вас однозначно интересует вопрос: как восстановить доступ? Мы подготовили небольшую инструкцию, соблюдая которую вы можете кратно увеличить свои шансы на успех.
Во-первых, не стоит вступать в дискуссии со злоумышленниками и платить им. С большой вероятностью, вас ещё раз обманут и доступ не вернут.
Напишите развёрнутое письмо на [email protected], в котором опишите проблему. Не умалчивайте никаких фактов от поддержки Telegram, расскажите подробно, как именно всё произошло. На короткое и неаргументированное письмо получить ответ шансы минимальны.
Не спамьте на почту поддержки повторными письмами, так вы только увеличите время ожидания ответа. Да, техподдержка мессенджера отвечает не молниеносно. И это связано, во-первых, с большим количеством обращений, а во-вторых, с тем, что Telegram тщательно проверяет каждый случай «угона». Однако никто кроме него вам в этом не поможет.
Но ещё важнее усвоить те принципы, о которых мы писали выше. Да, какие-то механики могут поменяться, ведь мошенники не стоят на месте, пытаются быть в тренде и маскироваться в актуальной повестке. Однако принципиально их приёмы не меняются годами, поэтому бдительность вкупе с цифровой гигиеной помогут не попасться на их удочку.
