Неизвестные контакты интересуются фото
и переводят деньги со счетов пользователей Telegram
Новая схема мошенничества «Привет, это не ты на фото?» набирает популярность в Telegram. На этой неделе СМИ сообщили еще о нескольких случаях. Со счетов пострадавших переводят деньги без их ведома. При этом им не приходят коды для подтверждения операции. Так, якобы муж отправил жительнице Санкт-Петербурга семейные фотографии файлом в формате АРК-архив. Женщина попыталась открыть его и вскоре после этого получила несколько уведомлений от банка. В общей сумме она лишилась 15 тыс. руб. Еще одной жертвой мошенников стал мужчина из Москвы. Он потерял 22 тыс. руб. Неизвестный контакт прислал ему сообщение с картинкой, спросив, не он ли это на фото. После клика диалог сразу же исчез.
Фото: Игорь Иванко, Коммерсантъ
Одна из наиболее вероятных схем выглядит так: логин и пароль мошенники нашли в даркнете, а после прислали вирус, который отслеживает вторую ступень аутентификации, рассказал директор и партнер компании «IT-Резерв» Павел Мясоедов: «На телефон жертвы присылается, например, APK-файл, если мы говорим об открытой операционной системе, а чаще всего именно телефоны на базе операционной системы Android подвержены такого рода рискам. Человек открывает этот файл, после чего в фоновом режиме, максимально незаметном пользователю, устанавливается программа, которая мониторит экран. Чаще всего это не очень хитрое ПО. Так вот, этот стилер начинает мониторить второй фактор аутентификации — либо SMS-сообщения, либо пуши так называемые. Иногда защита от компроментации пушей невозможна. А первый фактор — это связка логин-пароль —преступники, либо подбирают посредством социальной инженерии, либо опираются на слитые давным-давно базы в Darknet.
Не все социальные платформы одинаково опасны в этом плане. По той причине, что в некоторых есть фоновый мониторинг некоторых файлов на предмет как раз наличия в них вирусного программного обеспечения. Например, что-то более "олдскульное" или старое вроде почты обычно как раз не пропускает вирусное ПО. Некоторые мессенджеры имеют тоже определенные системы безопасности, которые в тех или иных случаях могут заблокировать отправку вредоносного файла либо как минимум его пометить. Но с учетом того, что Telegram построен на алгоритмах, изначально способствующих максимальному быстродействию и удобству пользователей, он именно по этим же причинам и наиболее популярен среди мошенников и преступников. Но в принципе сказать, что Telegram более опасен или в нем больше уязвимостей, будет некорректно».
В октябре о подобной схеме с рассылкой вирусов под видом фотографий в Telegram предупредило МВД. Ведомство отметило, что используется именно расширение APK. Как рассказали “Ъ FM” в «Лаборатории Касперского», мошенники могли прибегнуть к классической схеме, которая называется «Мамонт». Ее выявили в 2023-м. Однако ранее злоумышленники не отправляли архив напрямую, а предлагали пользователям скачать программу из фейкового магазина приложений Google Play. Троян и сейчас нацелен на пользователей Android, считает эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин: «Под видом фотографий злоумышленники, скорее всего, рассылают модификацию мобильного банковского трояна "Мамонт". Данная угроза актуальна для пользователей Android. Злоумышленники используют такой зловред, чтобы получить доступ к SMS жертвы, а также к платежам с мобильного счета. Для защиты от таких угроз мы рекомендуем не скачивать программы из неофициальных источников».
Также Telegram -каналы писали о схеме, в которой мошенники атакуют россиян в домовых чатах. Злоумышленники сначала предлагают забрать даром бытовую технику или мебель. После заверяют, что могут отправить предметы только курьером, и присылают фишинговую ссылку якобы для оформления доставки. И здесь, и в случае с вирусами под видом фотографий, мошенники полагаются на доверие пользователей, чтобы получить доступ к платежным средствам, отметил независимый эксперт по информационной безопасности Яков Гродзенский: «Устройства на базе iOS в большей степени защищены, но там есть тоже свои проблемы.
И схема в той или иной степени, может быть, с небольшими отличиями, реализована и на них. Злоумышленники могли использовать уязвимость приложения Telegram или в операционной системе устройства. Этот файл с изображением был явно модифицированный, мог выполнить какой-нибудь скрытый вредоносный код, который запустил вредоносные приложения или, скажем, получить доступ к сохраненным данным — платежные сведения или токены аутентификации, запустить там троянскую программу.
Есть сценарий, когда, например, мобильное устройство пользователя заранее заражено вредоносным ПО, которое, например, умеет перехватывать смс. Сначала у нас создается доверительный контекст, то есть они скопировали имя и аватарку мужа, дальше — файл содержал вредоносное ПО. А так как переводы были произведены сразу после установки программы, это свидетельствует просто о том, что операция была тщательно и заранее подготовлена».
По данным Центробанка, в 2024 году мошенники похитили у россиян почти 16 млрд руб. Регулятор составил среднестатистический портрет жертвы. Это женщина в возрасте от 25 до 44 лет. Она проживает в городе, работает, и у нее, как правило, средний уровень образования и дохода. Обычно жертвы сообщали мошенникам данные карты и коды из смс либо сами переводили им деньги. В среднем сумма потери не превышала 20 тыс. руб.
С нами все ясно — Telegram-канал "Ъ FM".