Foto seller.ozon.ru
Атака уже применяется против пользователей в разных странах и не требует взлома инфраструктуры сервиса.
По данным аналитиков компании CYFIRMA, злоумышленники регистрируют собственные API-ключи Telegram (api_id и api_hash) и через них инициируют легитимные процедуры входа в аккаунты пользователей. Все запросы проходят через официальную инфраструктуру мессенджера, что усложняет выявление атаки на раннем этапе.
Сценарии атаки
По данным исследователей, кампания реализуется как минимум по двум сценариям.
В первом случае пользователю предлагается авторизоваться с помощью QR-кода, визуально оформленного в стиле Telegram. После его сканирования в мобильном приложении создаётся новая сессия, контроль над которой получает злоумышленник.
Во втором варианте жертву убеждают вручную ввести номер телефона, одноразовый код подтверждения или данные двухфакторной аутентификации. Полученная информация немедленно передаётся через официальные API Telegram для завершения процесса входа.
Ключевым элементом атаки становится этап подтверждения входа. Telegram в штатном режиме направляет пользователю системное уведомление о попытке входа с нового устройства. В этот момент фишинговый ресурс, с которого начиналась авторизация, объясняет уведомление как часть «обязательной проверки безопасности» или «верификации аккаунта» и побуждает пользователя подтвердить вход.
В результате владелец аккаунта самостоятельно нажимает кнопку подтверждения и официально разрешает доступ к своему профилю. С технической точки зрения такая сессия считается полностью легитимной.
Масштабирование и последствия
По оценке CYFIRMA, кампания построена по модульному принципу с централизованным бэкендом. Используемые домены могут оперативно заменяться без изменения основной логики атаки, что затрудняет блокировку инфраструктуры.
После компрометации аккаунта злоумышленники, как правило, используют его для рассылки фишинговых сообщений контактам жертвы. Это позволяет атаке быстро распространяться дальше, используя доверие между пользователями.
