Конкурс на выбывание: как у медиаменеджеров угоняют аккаунты в Telegram

Что случилось?

В эти выходные специалисты Центра кибербезопасности F.A.C.C.T. обнаружили 462 домена для кражи учетных записей в Telegram с различными легендами о голосовании в конкурсах, которые вели на ресурсы с фишинговыми формами для авторизации.

Напомним, что массовые угоны аккаунтов с помощью голосований начались прошлым летом. Сначала мошенники использовали легенду с конкурсами детского рисунка, вокала или балета, а с декабря прошлого года переключились уже на более взрослые сценарии.

Как работает схема?

Жертву добавляли в группу и просили проголосовать на конкурсе "THE BEST PROJECT MANAGER" или "Marketing and PR Specialist". С неймингом таких чатов злоумышленники долго не думали: чтобы такие каналы было труднее обнаружить, они называют их "Всем привет", Добрый день всем", "Доброе утро!".

Еще один скриншот мошеннической группы

В одном из примеров ссылка вела на домен https://online-happy[.]ru, созданный три дня назад, где надо было выбрать одного из двух кандидатов.

Форма для голосования

Затем происходит редирект на другой ресурс, например, allance-online24[.]ru, где участнику голосования предлагают авторизоваться в Telegram через QR-код или отправку кода не телефон.

Так происходит компрометация аккаунта — или, проще говоря, его угон. Злоумышленники сразу отвязывают его от текущего номера и жертва теряет доступ к своим перепискам в мессенджере, контактам и сохраненным сообщениям, фото и видео.

Авторизация через QR-код

Авторизация через код

Как масштабировалась схема?

После угона аккаунта предложение поучастовать в голосовании отправлялось уже по базе контактов. То есть каждая новая жертва уже сама становится распространителем мошеннических объявлений.

Список мошеннических ресурсов

Начиная с декабря 2023 года, злоумышленники зарегистрировали 462 домена для голосования. Из них 85 — в феврале и 162 — в марте. Вот некоторые из ресурсов:

alliance-capital24[.]ru
alliance-happy[.]ru
alliance-happy24[.]ru
alliance-headway[.]ru
alliance-headway24[.]ru
alliance-luck[.]ru
alliance-luck24[.]ru
alliance-moscow24[.]ru
alliance-online24[.]ru
alliance-people[.]ru
alliance-people24[.]ru
alliance-russia24[.]ru
alliance-success[.]ru
alliance-success24[.]ru
bizxp[.]ru
capital-alliance[.]ru
capital-alliance24[.]ru
capital-happy[.]ru
capital-happy24[.]ru
happy-alliance[.]ru
happy-alliance24[.]ru
happy-capital[.]ru
happy-capital24[.]ru
happy-moscow24[.]ru
happy-online24[.]ru
happy-people24[.]ru
happy-russia24[.]ru
happy-world24[.]ru
headway-alliance[.]ru
headway-alliance24[.]ru
luck-alliance[.]ru
luck-alliance24[.]ru
mail.capital-alliance[.]ru
moscow-alliance24[.]ru
moscow-happy[.]ru
moscow-happy24[.]ru
mx.online-happy[.]ru
online-alliance[.]ru
online-alliance24[.]ru
online-happy[.]ru
online-happy24[.]ru
people-alliance[.]ru
people-happy24[.]ru
russia-alliance[.]ru
russia-alliance24[.]ru
russia-happy[.]ru
russia-happy24[.]ru
success-alliance[.]ru
success-alliance24[.]ru
v350679.hosted-by-vdsina[.]ru
world-happy24[.]ru
www.alliance-capital24[.]ru
www.alliance-happy[.]ru
www.alliance-happy24[.]ru
www.alliance-headway[.]ru
www.alliance-headway24[.]ru
www.alliance-luck[.]ru
www.alliance-luck24[.]ru
www.alliance-moscow24[.]ru
www.alliance-online24[.]ru
www.alliance-people[.]ru
www.alliance-people24[.]ru
www.alliance-russia24[.]ru
www.alliance-success[.]ru
www.alliance-success24[.]ru
www.capital-alliance24[.]ru
www.capital-happy[.]ru
www.capital-happy24[.]ru
www.happy-alliance[.]ru
www.happy-alliance24[.]ru
www.happy-capital[.]ru
www.happy-capital24[.]ru
www.happy-moscow24[.]ru
www.happy-people24[.]ru
www.happy-russia24[.]ru
www.happy-world24[.]ru
www.headway-alliance[.]ru
www.headway-alliance24[.]ru
www.luck-alliance[.]ru
www.luck-alliance24[.]ru
www.moscow-alliance24[.]ru
www.moscow-happy[.]ru
www.moscow-happy24[.]ru
www.online-alliance[.]ru
www.online-alliance24[.]ru
www.online-happy[.]ru
www.online-happy24[.]ru
www.people-alliance[.]ru
www.people-happy24[.]ru
www[.]russia-alliance[.]ru
www[.]russia-alliance24[.]ru
www[.]russia-happy24[.]ru
www.success-alliance[.]ru
www.success-alliance24[.]ru
www.world-happy24[.]ru

Что нужно сделать, чтобы обезопасить себя?

• Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и виртуальный пароль.

• Не переходите по подозрительным ссылкам, не участвуйте в голосованиях и конкурсах.

• Если вам написала родственница или коллега с просьбой проголосовать или поучаствовать в конкурсе — перепроверьте эту информацию.

• Не сообщайте и не вводите на подозрительных ресурсах коды из СМС и пуш-уведомлений.

• Если телеграм-аккаунт разлогинился, попробуйте снова войти, но, если это не получается — оперативно связывайтесь с техподдержкой!