Основной целью новой волны атак стали журналисты и блогеры, пишет AntiMalware. Получив доступ к их аккаунтам, злоумышленники могут попытаться перехватить управление популярными новостными телеграм-каналами. После этого такие площадки нередко используются для публикации фейковых новостей или размещения мошеннической рекламы.
Сама схема практически не изменилась за последние несколько лет. Пользователь получает сообщение якобы от знакомого, аккаунт которого уже был взломан. В тексте говорится примерно следующее: «Привет! Можешь помочь? В благотворительном конкурсе рисунков участвует девочка из семьи наших знакомых — Настя. Если она займёт первое место, ей дадут грант на лечение».
К сообщению прикрепляется ссылка на сайт для голосования. Однако на самом деле она ведёт на фишинговую страницу, имитирующую процедуру входа в Telegram.
Главным новшеством мошенников стало именно упоминание гранта на лечение. Этот элемент рассчитан на эмоциональную реакцию пользователя и должен повысить вероятность перехода по ссылке.
По словам эксперта по информационной безопасности Евгения Егорова, для проведения такой кампании злоумышленники создали сеть из примерно 290 доменов. Они зарегистрированы в зонах.com.tr, .xyz, .shop, .cyou, .cfd и .icu и копируют внешний вид страницы входа в Telegram.
На фальшивых сайтах вместо привычной надписи «Вход в Telegram» используется формулировка «Система проверки голосов». Пользователю предлагают подтвердить участие в голосовании, введя код из СМС. На самом деле этот код предназначен для авторизации нового устройства в аккаунте Telegram. Если ввести его на поддельной странице, мошенники получают полный доступ к учётной записи.
