Ловят на слове: объем фишинга в Telegram продолжает расти

Анастасия Гаврилюк Редакция Forbes

Stub — Фото picture alliance / photothek

По экспертным оценкам, количество фишинговых ресурсов в Telegram выросло в пять раз за первую половину этого года. Аналитики указывают, что бум стартовал в начале 2023-го и объем фишинга в мессенджере только продолжает увеличиваться. Часто целью мошенников является кража аккаунта, что может быть особенно болезненно, учитывая, что многие компании используют мессенджер в качестве корпоративного средства коммуникации. Сама популярность Telegram у бизнеса способствует тому, чтобы злоумышленники наращивали попытки увести аккаунты и получить доступ к личным данным, говорят эксперты

Как взволновать пользователя

За первое полугодие 2023 года было зарегистрировано в пять раз больше фишинговых Telegram-ресурсов, чем годом ранее — общее их число достигло 5000, рассказали Forbes в Angara Security. Во II квартале текущего года количество попыток перехода российских пользователей на фишинговые ресурсы, мимикрирующие под Telegram, увеличилось почти на 39% по сравнению с первыми тремя месяцами 2023-го, говорит старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова.

Рост мошенничества в Telegram продолжается, в начале 2023 года начался настоящий бум, говорит сооснователь проекта StopPhish Юрий Другач. По его оценкам, за три летних месяца количество мошеннических сайтов, связанных с Telegram, выросло в три раза, если сравнивать с таким же периодом прошлого года. По сравнению с весенними месяцами этого года летом число поддельных сайтов выросло на 10%, добавляет он. Кратный рост фишинговых атак на российских пользователей в Telegram с прошлого года фиксирует и директор по продуктам компании «Гарда Технологии» (входит в ГК «Гарда») Павел Кузнецов.

В Telegram на запрос Forbes не ответили.

Forbes.Идеи для бизнеса

Канал о стартапах, новых идеях и малом бизнесе

Цель рассылки таких сообщений — заинтересовать или взволновать пользователя до такой степени, чтобы вытянуть из него либо учетные данные мессенджера, либо платежные или иные персональные сведения, поясняет Кузнецов. Как только злоумышленники получают доступ к чужому аккаунту, они начинают рассылать вредоносные сообщения его контактам, говорит эксперт центра мониторинга внешних цифровых угроз Solar Aura «РТК-Солар» Диана Селехина. Пользователи, по ее словам, гораздо более склонны доверять сообщениям, полученным от друзей и знакомых, поэтому вероятность успешного взлома чужого аккаунта значительно увеличивается.

Важно, что многие компании используют мессенджер в качестве корпоративного средства коммуникации или канала взаимодействия с клиентами, отмечает ведущий эксперт отдела анализа защищенности центра инноваций Future Crew МТС RED Вадим Шелест: «Поэтому атаки c целью кражи аккаунтов Telegram так популярны. Атаки в мессенджерах требуют минимальных затрат со стороны злоумышленников, при этом весьма эффективны».

В любом мессенджере, в том числе в Telegram, мошенники пытаются заставить пользователя перейти по ссылке на вредоносный сайт, говорит руководитель отдела продвижения продуктов «Кода безопасности» Павел Коростелев. На этих сайтах пользователь должен ввести некие данные, например логин-пароль для онлайн-банкинга, добавляет он. В другом случае на его устройство автоматически скачивается вредоносный софт, который может дать мошеннику доступ к личным данным, поясняет эксперт.

Материал по теме

С небольшой помощью моих друзей

Наиболее распространенными схемами в Telegram остаются рассылки, предлагающие проголосовать на конкурсе детского рисунка, получить бесплатный премиум-аккаунт, сделать пожертвование на лечение ребенка, ознакомиться с документом, получить социальную выплату, оформить водительское удостоверение, говорит Диана Селехина. Также мошенники часто предлагают получить доступ к Telegram для взрослых, заработать игровую валюту, протестировать премиум-подписку Telegram или скачать взломанную версию игры, добавляет Ольга Свистунова.

Злоумышленники могут присылать просьбы занять денег от имени друзей, в том числе с использованием поддельных голосовых сообщений, а также, представляясь поддержкой Telegram, злоумышленники сообщают о каких-либо проблемах с аккаунтом и необходимости пройти проверку, говорит Юрий Другач.

Также пользователю может прийти сообщение, в котором говорится о том, что его комментарии в тех или иных группах и каналах являются дискредитирующими, и предлагается удалить их по указанной ссылке, поясняет начальник отдела информационной безопасности «СерчИнформ» Алексей Дрозд. По его словам, текст может быть другим, но призыв одинаковый — пройти по ссылке.

Материал по теме

Киберпреступники могут имитировать сообщения от банков и платежных систем с требованием подтвердить личные данные, а также поддельные ссылки на официальные страницы компаний и сервисов, говорят в Angara Security.

Павел Коростелев перечисляет и менее популярные на текущий момент способы фишинга. Так, мошенники могут создать канал с иконкой и названием «Избранное» и добавить в этот чат пользователя в надежде, что тот не заметит подвоха, говорит он. «Поскольку многие юзеры используют «Избранное» как склад всякой разной информации, мошенники рассчитывают, что невнимательный пользователь скинет в фейковый чат нечто важное, например пароль от того же Telegram», — поясняет эксперт.

Кроме того, злоумышленники играют на желании людей продвинуть свой канал, подчеркивает Коростелев. По его словам, в последние несколько месяцев ряд пользователей столкнулись с фейковыми продавцами рекламы: владельцы каналов приходили к ним, чтобы повысить монетизацию, в ответ от них просили предоставить им статистику канала и высылали ссылку, где это можно было сделать. После того, как пользователи вводили данные канала, мошенники получали доступ и перехватывали управление, добавляет он.

Материал по теме

Подозрительные ссылки

В Angara Security рекомендуют пользователям Telegram проверять валидность ботов, каналов и обращать внимание на сообщения от знакомых или коллег о переводах денег. Вадим Шелест говорит о необходимости включить двухфакторную аутентификацию в Telegram, чтобы защититься от подобных атак. Также он советует проверять любые подозрительные ссылки с помощью специальных сервисов.

Важно быть максимально бдительными и переходить только по официальным и проверенным ссылкам, рассуждает аналитик отдела анализа и оценки цифровых Infosecurity a Softline Company Владислав Иванов. Он напоминает, что не стоит вводить личные данные или пароли на сторонних ресурсах и лучше всегда проверять отправителя, особенно если дело касается запросов на предоставление личной информации или доступа к аккаунту. По мнению Павла Коростелева, важно отвязывать свои аккаунты от номера телефона, когда пользователь перестает пользоваться своим номером: «Оператор может передать его другому человеку. Если прежний владелец не отвяжет свои аккаунты и у него не включена двухфакторная аутентификация, новый обладатель номера сможет без проблем зайти в аккаунты прежнего пользователя», — заключает аналитик.