На фишинг все больше клюет

Улов мошеннических групп по краже аккаунтов Telegram растет

За вторую половину 2024 года результативность интернет-мошенничества по краже аккаунтов Telegram увеличилась на четверть. Только одной из семи обнаруженных специалистами русскоязычных групп удалось украсть более 1,2 млн учетных записей пользователей из России и других стран. На «черном рынке» растет и стоимость похищенного аккаунта, зарегистрированного на российский номер, сейчас она достигает 160 руб., что на 6% больше, чем в начале 2024 года.

Фото: Игорь Елисеев, Коммерсантъ

Фото: Игорь Елисеев, Коммерсантъ

“Ъ” ознакомился с отчетом компании F6 (ранее Group-IB) о кражах аккаунтов пользователей Telegram. Во втором полугодии 2024 года одна из «русскоязычных» групп злоумышленников похитила 1,2 млн учетных записей пользователей из России и других стран. Это на 25,5% больше, чем было похищено ими же во втором полугодии 2023 года. На момент исследования специалисты F6 обнаружили не менее семи таких действующих групп.

Одной из наиболее распространенных схем кражи аккаунтов в Telegram методом фишинга старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова называет фальшивое голосование.

Злоумышленники просят проголосовать за того или иного человека в конкурсе, перейдя по ссылке, где запрашивается верификация через мессенджер.

Специалисты отмечают, что преступники все чаще применяют автоматизированные методы, такие как фишинговые панели и шаблоны (см. “Ъ” от 12 ноября). Автоматизируется и дальнейшее распространение мошеннической ссылки через зараженный аккаунт. «Угон учетных записей, таким образом, превращается в непрерывный конвейер атак»,— добавляет руководитель департамента защиты от цифровых рисков компании F6 Станислав Гончаров.

Новую уязвимость в мессенджере Telegram через API обнаружили и в компании Angara. Злоумышленник скупает номера, регистрирует на них аккаунты в Telegram, выпускает под них API-ключи, рассказал эксперт по киберразведке Angara SOC Иван Захаров. Как только ключи получены, он удаляет аккаунт и возвращает номера оператору связи. Затем, когда потенциальная жертва выкупает один из таких номеров, злоумышленнику остается только узнать код для доступа к аккаунту и через «активную сессию» получить полный доступ. По словам господина Захарова, Telegram пока не закрыл эту уязвимость. «Также нет функции удаления API-значений»,— добавляет он.

В последнее время мошенники также стали создавать фальшивые сети Wi-Fi, доступ к которым осуществляется не вводом номера телефона и кодом из СМС/последними цифрами номера, а с помощью Telegram, рассказывает замдиректора по трансферу технологий ЦК НТИ Тимофей Воронин.

Если ввести данные для входа в аккаунт при подключении вместо верификации в сети, доступ к нему будет передан злоумышленникам. Как писал CNews, такие случаи фиксировались в феврале в аэропорту Шереметьево.

По данным F6, на теневом рынке средняя цена аккаунтов, зарегистрированных на российские номера, составляет около 160 руб., что на 6% больше, чем в начале 2024 года. Стоимость украденной учетной записи на теневых ресурсах варьируется в зависимости от наличия премиум-подписки, административных прав или владения каналом, количества диалогов, а также продолжительности «отлежки» — периода, в течение которого аккаунт оставался неактивным после кражи и не был восстановлен законным владельцем, говорят в компании.

По словам директора по развитию центра мониторинга внешних цифровых угроз Solar AURA Александра Вураско, мошенники используют любые варианты монетизации информации из чужих аккаунтов: выгружают переписки, фотографии, файлы, пробуют шантажировать жертв, рассылают ссылки на фишинговые сайты по списку контактов, пытаясь «занять» деньги, и так далее.

По данным F6, злоумышленники в рекламных постах в своих каналах отмечают, что доход от украденного аккаунта складывается из стоимости самой учетной записи и «звезд» в мессенджере по цене 1 руб. за штуку, говорит Станислав Гончаров.

Филипп Крупанин

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»