Злоумышленники открыли новый сезон охоты на аккаунты Telegram. Пользователей добавляют в специально созданную группу и просят голосовать за участников конкурса медиаменеджеров или пиарщиков, пройдя по ссылке на фишинговый сайт.
Эксперты F.A.C.C.T. выявили 462 домена, используемых для кражи учетов в рамках данной схемы. Все они созданы в период с декабря 2023 года по минувший март.
Чтобы уберечь свои группы от блокировки, мошенники присваивают им безобидные имена: «Всем привет», «Добрый день всем», «Доброе утро» и т. п. Сообщения с просьбой проголосовать за участника мифического конкурса содержат ссылку на сторонний ресурс.
На нем приведен список кандидатов с количеством отданных голосов. После выбора происходит редирект на другой поддельный ресурс, с фишинговой формой входа в Telegram.
Выявлено два вида таких страниц: авторизация по QR-коду и через отправку одноразового кода на телефон. Если попавший в ловушку юзер совершит искомое действие, злоумышленники получат доступ к его аккаунту.
Профиль сразу отвязывают от телефона жертвы, и по найденным в базе контактам проводится рассылка приглашений принять участие в голосовании.
Приманка в виде выдуманного конкурса не нова и ранее уже применялась для угона Telegram-аккаунтов. Чтобы получить заветный ключ, мошенники также могут пообещать премиум-подписку в подарок, прислать поддельное сообщение ИБ-службы мессенджера с об угрозе блокировки или предложить партнерство от имени крупного рекламодателя. С недавних пор для обмана русскоязычных пользователей Telegram используются дипфейки — правда, пока только с целью отъема денег у граждан.