Специалисты из группы компаний «Солар» выявили крупную сеть, включающую более 300 вредоносных ресурсов с изображениями, предназначенными для хищения учетных записей в Telegram. По данным специалистов по информационной безопасности, такие изображения могут попасться любому пользователю в результатах поиска, а переход по ним увеличивает риск утраты аккаунта. Отмечается, что данная кампания является самой масштабной в российском сегменте интернета, направленной на взлом аккаунтов Telegram.
Злоумышленники применяют разнообразные методы скрытия вредоносного контента, чтобы усложнить блокировку сайтов. Сеть вредоносных ресурсов была создана хакерами в декабре 2023 года. Сайты представляют собой однотипные страницы с большим количеством изображений и описаний. Согласно утверждениям экспертов из ГК «Солар», изображения сгруппированы по различным тематикам, включая аниме, фанфики, интернет-мемы, порнографические изображения, корейские сериалы и еду. Злоумышленники также уделяют большое внимание вопросам поисковой оптимизации.
Работа такого сайта происходит следующим образом: пользователь кликает на ссылку или изображение, чтобы увидеть его источник, но вместо сайта с картинкой происходит переадресация на один из фишинговых ресурсов, имитирующих страницу сообщества в Telegram. Фишинговые сайты часто используют название Telegram-сообщества «Тебе понравится».
При попытке присоединиться к сообществу жертва попадает на страницу с QR-кодом или формой логина и пароля для входа в Telegram. После ввода данных для входа на фальшивом ресурсе информация автоматически передается злоумышленникам. Двухфакторная аутентификация не защищает от таких краж: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получают доступ к профилю на своем устройстве и могут завершить сессию настоящего владельца аккаунта.
Специалисты сообщили, что мошенники используют домены, не связанные по тематике с распространяемыми изображениями, друг с другом или с мессенджером. Фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы скрытия вредоносного содержимого. Например, сайты автоматически проверяют, откуда был совершен переход по ссылке. Если пользователь перешел не со страницы поисковой системы, то вместо фишингового сайта ему показывается искомое изображение. Это делается для того, чтобы затруднить блокировку этих ресурсов. Таким образом, при жалобе пользователя на такой сайт ссылка на вредоносный контент просто не откроется.
Злоумышленники применяют разнообразные методы скрытия вредоносного контента, чтобы усложнить блокировку сайтов. Сеть вредоносных ресурсов была создана хакерами в декабре 2023 года. Сайты представляют собой однотипные страницы с большим количеством изображений и описаний. Согласно утверждениям экспертов из ГК «Солар», изображения сгруппированы по различным тематикам, включая аниме, фанфики, интернет-мемы, порнографические изображения, корейские сериалы и еду. Злоумышленники также уделяют большое внимание вопросам поисковой оптимизации.
Работа такого сайта происходит следующим образом: пользователь кликает на ссылку или изображение, чтобы увидеть его источник, но вместо сайта с картинкой происходит переадресация на один из фишинговых ресурсов, имитирующих страницу сообщества в Telegram. Фишинговые сайты часто используют название Telegram-сообщества «Тебе понравится».
При попытке присоединиться к сообществу жертва попадает на страницу с QR-кодом или формой логина и пароля для входа в Telegram. После ввода данных для входа на фальшивом ресурсе информация автоматически передается злоумышленникам. Двухфакторная аутентификация не защищает от таких краж: если ввести полученный код подтверждения на фишинговом сайте, злоумышленники получают доступ к профилю на своем устройстве и могут завершить сессию настоящего владельца аккаунта.
Специалисты сообщили, что мошенники используют домены, не связанные по тематике с распространяемыми изображениями, друг с другом или с мессенджером. Фишинговые сайты, созданные для кражи данных в Telegram, используют различные методы скрытия вредоносного содержимого. Например, сайты автоматически проверяют, откуда был совершен переход по ссылке. Если пользователь перешел не со страницы поисковой системы, то вместо фишингового сайта ему показывается искомое изображение. Это делается для того, чтобы затруднить блокировку этих ресурсов. Таким образом, при жалобе пользователя на такой сайт ссылка на вредоносный контент просто не откроется.