За последние дни количество моих знакомых и друзей, пострадавших от угона их телеграм-аккаунта, значительно выросло. Схема далеко не новая, я даже считал, что уж про нее слышали все, но это оказалось не так, и память людей довольно коротка.

В этой статье мы разберем двухэтапную схему с угоном и монетизацией tg-аккаунтов, а именно:

• Как именно происходит угон? Важен ли нарратив, используемый в социальной части?

• Достаточно ли только одной ошибки пользователя?

• Как именно аккаунты монетизируют?

• В чем главные фишки автоматизации работы злоумышленников на базе нейросетей?

• Как именно злоумышленники противодействуют жертве и попыткам вскрыть обман?

• Почему схема настолько успешна и что можно с этим сделать?

• Применима ли она к иным мессенджерам?

Интересно? Добро пожаловать под кат, а если посчитаете полезным — распространите.

❯ Угон

Все массовые угоны аккаунтов Телеграма происходят одинаково: жертвы сами вводят код для входа, а далее свой второй фактор — пароль, если он вообще есть. Иных случаев угона, связанных в первую очередь со взломом непосредственно устройства (смартфона или ПК) жертвы, можно по пальцам пересчитать. Да и такие взломы, как правило, случайны, устройство первоначально заражается с более общими целями, а потом доступ к нему монетизируется всеми возможными способами.

Но почему жертвы вводят свой код и пароль? Злоумышленники мотивируют жертву для какой-либо цели «залогиниться через телеграм». Сейчас чаще всего используется тема «проголосуй за меня в конкурсе», где жертве предлагается проголосовать за его друга, причем само предложение приходит именно от его настоящего аккаунта, уже взломанного ранее. 

На деле повод может быть любой, но «голосование» наиболее привычно, универсально, и под эту схему уже написана автоматизация, которая будет описана ниже. 

Код для входа введен, пароль тоже. От телеграмма пришло уведомление о входе в аккаунт, но так как жертва считает, что это логинилась она, на это внимание не обращает. Это всё? Роковая ошибка совершена, и злоумышленники начинают действовать?

Нет, еще нет. С момента входа злоумышленниками в аккаунт проходит 24 часа до их активных действий. Только через 24 часа они получат права на завершение более ранних сессий и тем самым смогут единолично закрепиться в угнанном аккаунте. Если за эти 24 часа жертва поймет, что сделала что-то не то, у нее есть все шансы потерять только конфиденциальность своих переписок или паролей, сохраненных в «Избранном» (да, люди так частенько делают), но остальных последствий получится избежать! Это возможно, так как жертва в течение этих 24 часов может легко завершить сессию мошенников и выкинуть их из аккаунта без возможности повторного им входа, ведь код им не получить.

❯ Закрепление и активные действия

Но если жертва в течение 24 часов не завершила сессию злоумышленников, то они вступают в игру, завершая все предыдущие сессии и препятствуя повторному входу. Делают они это очень просто, мгновенно завершая новую сессию и выбрасывая из аккаунта при попытке входа со стороны жертвы. Для этого с их стороны работает мониторящий скрипт. Успеть зайти или сделать какие-либо действия нереально, жертва надежно теряет доступ к аккаунту на время работы скрипта. А через несколько безуспешных попыток ей вход уже временно закрывает сам «Телеграм» за многочисленные попытки входа.

Далее злоумышленники по своим собственным критериям распределяют аккаунт в одну или другую категорию:

• Аккаунт для монетизации.

• Аккаунт для разгона.

Аккаунт для монетизации. Используется исключительно для самой важной цели мошенников — заработка денег. Для этого используется наиболее простая, прямая и банальная схема: просьба занять денег в долг.

Выбираются в первую очередь собеседники жертвы, с которыми были недавние и активные диалоги, либо которые записаны в очень личной манере: «сеструля», «братишка», «любимый» и прочее. 

Если же контакты жертвы не ведутся и начинают задавать неудобные вопросы, их просто начинают игнорировать.

Стоит отметить, что именно на данном этапе включается в работу оператор, и, судя по всему, это единственное место, где работает человек! 

Отъем денег у контактов происходит в течение суток, после чего аккаунт, как правило, бросают.

Аккаунт для разгона. Используют для массового пополнения базы взломанных аккаунтов, тут схема гораздо интереснее и автоматизированнее. Именно с таких аккаунтов создается группа для «голосования».

В группу автоматически добавляются все Телеграм-контакты жертвы, если они не запретили это действие своими настройками приватности. Там новых кандидатов на роль жертвы встречает письмо с просьбой проголосовать в конкурсе и ссылкой на фишинговый домен с идентификатором жертвы в конце.

И первые новоиспеченные жертвы отвечают злоумышленникам, что всё в порядке и они проголосовали! Правда, что они ошиблись, они узнают через 24 часа, когда уже их сессии будут завершены.

А аккаунт для разгона будет брошен позднее, чтобы исключить возможность предупреждения жертв в течение этих 24 часов.

Но давайте поговорим о главном, об эффективности подобных атак и ее ключе — автоматизации!

❯ Автоматизация

Для минимизации собственных затрат и максимизации успеха злоумышленники используют целый набор скриптов и сервисов на базе нейросетей.

• Генератор фишинговых страниц и доменов. Тут без комментариев, используется в любом фишинге, упрощает создание одностраничников под конкретную жертву. Имитирует голосование, вы ведь видели «i-d» в конце ссылки на скрине? Это идентификатор имени жертвы, за которую будут «голосовать». Сейчас такие проще всего сгенерировать нейросетью.

• Скрипт, обрывающий сессии, о нем мы говорили ранее. Его задача проста: прерывать любые новые созданные сессии, удерживая доступ к аккаунту в руках злоумышленников.

• Генератор фотографий банковских карт. Незамысловатый фон «дивана» и карта на нем, а генератор же подставляет имя и фамилию жертвы, а также актуальный номер карты мошенников на фото. В ряде случаев это помогает убедить контакты жертвы перевести деньги, ведь выглядит довольно натурально. Генерируется нейросетью.

• Генератор сообщения о «голосовании». Это самое важное сообщение злоумышленники сами не пишут, используют общие формулировки и генерируют исходя из контекста жертвы. Удобно вставляется и название «конкурса», и фамилия/имя жертвы, и фотография генерируется из аватарки. И даже добавляют фейкового второго участника, который, судя по картинке, лидирует! Чем мотивирует участников чата активнее «голосовать». Скорее всего, генерируется нейросетью, как и название конкурса.

• Скрипт-цензор. Задача данного скрипта — работать фильтром в группе «голосования», пропускать положительные комментарии и моментально удалять сообщения с ключевыми словами. Если в данной группе вы хотите предупредить других участников, у вас, скорее всего, не выйдет. Если написать слова «фишинг», «скам», «мошенничество», то в ту же секунду сообщение будет удалено, а вы будете выкинуты из группы без возможности возвращения. Сообщения же позитивные фильтр пропускает, хотя, возможно, и генерирует их сам с других аккаунтов. Скорее всего, работает на базе какого-либо ИИ, и способов обхода его цензуры автором обнаружено не было!

Итого: сами мошенники занимаются исключительно тем, что выпрашивают деньги «в долг» в диалогах и перепроверяют сгенерированные нейросетями картинки, тексты и сайты. Непыльная работа с очень хорошей прибыльностью!

❯ Возможное противодействие

Если жертва потеряла возможность входа в аккаунт, то у нее остается не так уж много вариантов. Оперативно вернуть аккаунт невозможно, остается лишь помешать злоумышленникам собирать деньги. Для этого можно попробовать:

1. Писать на электронные письма на адрес abuse@telegram.org, описывая там всю ситуацию с кражей аккаунта. Однако эффективнее отсылать письма по этому поводу в «Спортлото».

2. Просить друзей и знакомых, разгадавших мошенничество, переслать сообщения от мошенников служебному tg-аккаунту @notoscam, однако и реакция на это действие очень маловероятна и медленна! «Спортлото» выигрывает и тут.

3. Писать в банк для блокировки карты мошенников, какие-либо банки достаточно оперативно реагируют, какие-то не реагируют вовсе.

4. Написать заявление в полицию, это увеличит вероятность блокировки карты, если данные о заявлении приложить к обращению.

Но можно ли как-то вернуть аккаунт в моменте? Нет. 

Удалить его полностью? Нет, только через 7 дней. 

Вернуть аккаунт позднее? Да, для этого злоумышленники должны его бросить, а вы в него зайти и выждать 24 часа, чтобы завершить сессию злоумышленников. Иначе никак!

❯ Причины эффективности

Основная причина успеха подобных атак — человеческий фактор, люди или не способны распознать обман, или находятся в момент коммуникации в крайне уязвимом состоянии. Но углубляться в это не будем, иначе это тема не одной статьи.

А вот основная причина эффективности автоматизированной мошеннической схемы — отсутствие полноценной техподдержки Телеграмма. Насколько известно автору данного текста, техподдержкой в одном из крупнейших мессенджеров мира занимаются добровольцы! Полноценная системная работа не ведется, ответ техподдержки не гарантирован, а уж об оперативной реакции на типовые и массовые случаи мошенничества и говорить не о чем.

Фактически злоумышленники уверены, что если они захватили аккаунт, то сутки он гарантированно будет под их контролем. А большего им и не нужно. Это позволяет им максимально автоматизировать все этапы и успешно монетизировать аккаунты.

❯ Что с этим можно сделать? 

1. Внедрить механизм принудительного завершения всех текущих сессий владельцем при каком-либо подтверждении его личности. Например, кодовым словом или seed-фразой.

2. Внедрить полноценную техподдержку.

В других же мессенджерах эта проблема решается хоть как-то работающей техподдержкой, и подобная схема будет далеко не так эффективна.

До внедрения хоть какого-то механизма возвращения доступов владельцу или хотя бы сброса доступов у злоумышленников жертвам остается только наблюдать, как их аккаунтом пользуются для обмана. Вернуть его станет возможно только после утери интереса к аккаунту у мошенников!

❯ Итог

Главная уязвимость схемы злоумышленников — необходимость выждать 24 часа для сброса сессий. За это время у жертвы есть время одуматься и отозвать доступ. 

Но гораздо лучше, если процент тех, кто ведется на «голосования» или иные предлоги «войти через телеграм», снизится. Расскажите, пожалуйста, о данных схемах друзьям, родным и близким. Для них сам факт ввода кода или пароля от мессенджера должен стать триггером.

А если у кого-то есть идеи, как реализовать механизм возврата аккаунта без технической поддержки и дополнительных рисков владельцам, пишите в комментарии!

UPD. По информации из комментариев наиболее оперативный канал связи с Техподдержкой самый неочевидный - https://telegram.org/support.
Попробуйте сразу писать сюда!

Новости, обзоры продуктов и конкурсы от команды Timeweb.Cloud — в нашем Telegram-канале ↩

? Читайте также:

• ➤ Очень страшный публичный Wi-Fi

• ➤ Приём служебного GSM-трафика без использования SDR

• ➤ Технологии из прошлого: телетайп. Разбираемся в устройстве, воскрешаем старый аппарат

• ➤ Кто ответит за утечку: штрафы, сроки и другие обновления закона о персональных данных

• ➤ Болезнь Крона, осы-паразиты и «больной нытик из Цюриха»: что стоит за главной сценой «Чужого»