Угнать за пару секунд: злоумышленники похищают аккаунты в Telegram ради звёзд и NFT-подарков

Компания F6 исследовала кражи аккаунтов пользователей Telegram. По данным аналитиков департамента защиты от цифровых рисков Digital Risk Protection, число угонов учетных записей в популярном мессенджере с помощью фишинговых ресурсов за второе полугодие 2024 года увеличилось на 25,5% по сравнению с аналогичным периодом 2023 года.

За июль–декабрь 2024 года только одна из русскоязычных групп злоумышленников похитила более 1 244 000 учетных записей пользователей из России и из других стран, это на 25,5% больше по сравнению с результатами второго полугодия 2023 года аналогичной группировки, специализирующейся на угоне аккаунтов. На момент исследования специалисты F6 обнаружили не менее 7 таких групп.

На теневом рынке средняя цена продажи аккаунтов, зарегистрированных на российские номера, составляет около 160 рублей — на 10 рублей больше, чем по итогам первого полугодия 2024 года. Стоимость украденной учетной записи на теневых ресурсах варьируется в зависимости от наличия премиум-подписки, административных прав или владения каналом, количества диалогов, а также продолжительности «отлёжки» — периода, в течение которого аккаунт оставался неактивным после кражи и не был восстановлен законным владельцем. Кроме того, на цену влияют курс доллара и ситуация на рынке: чем больше украденных аккаунтов выставлено на продажу, тем ниже может быть их стоимость.

В угнанных учетных записях злоумышленников в том числе интересуют цифровая валюта Telegram Stars (звёзды) и коллекционные виртуальные подарки, включая NFT. Они могут выводиться автоматически на подставные учетные записи, а затем, как правило, продаются. Как отмечают злоумышленники в рекламных постах в своих каналах, доход от угнанного аккаунта складывается из стоимости самой учетной записи и звезд по цене 1 рубль за штуку. Стоимость NFT-подарков может достигать десятков и сотен долларов.

Для создания фишинговых ресурсов злоумышленники используют веб-панели или Telegram-боты, в которых создаются фишинговые страницы различной тематики, в том числе зарекомендовавшие себя уловки: денежные призы, предупреждение от службы безопасности, годовая премиум-подписка в подарок, голосования, доступ в приватный канал и другие.

Кроме того, аналитики F6 Digital Risk Protection  обнаружили комбо-схему, в которой похищенный аккаунт автоматически начинает распространять мошеннические ссылки. Легендой фишинговых страниц в этой схеме является составление резюме работодателю, для отправки которого «необходимо авторизоваться через Telegram».

«Украденные аккаунты в популярных мессенджерах продолжают оставаться востребованным товаром на теневом рынке. Они используются в мошеннических схемах, для кражи данных, а также как источники «звезд» и виртуальных подарков. Преступники всё чаще применяют автоматизированные методы, такие как фишинговые панели и шаблоны, превращая угон учетных записей в непрерывный конвейер атак. Чтобы защититься от таких угроз, пользователям и компаниям важно строго следовать правилам кибербезопасности и цифровой гигиены», – отмечает Станислав Гончаров, руководитель департамента защиты от цифровых рисков (Digital Risk Protection) компании F6.

Рекомендации специалистов F6 по защите аккаунтов мессенджеров:

• Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и виртуальный пароль;
• Не переходите по подозрительным ссылкам, не участвуйте в сомнительных голосованиях и конкурсах, перепроверяйте информацию о вакансиях;
• Обращайте внимание на адресную строку в браузере и ее содержание. Проверяйте на дату регистрации домена, используя специализированные Whois-сервисы.
• Если вам написал даже знакомый пользователь с просьбой проголосовать или поучаствовать в конкурсе — перепроверьте эту информацию по другому каналу связи;
• Не сообщайте и не вводите на подозрительных ресурсах коды из СМС и push-уведомлений;
• Оперативно свяжитесь с техподдержкой, если не можете войти в свой аккаунт в Telegram. Если все же получилось войти в свою учетную запись, то незамедлительно завершите чужие сессии и поменяйте облачный пароль.

Для защиты брендов от репутационных рисков и прямого ущерба, связанного с их незаконным использованием на поддельных сайтах, компаниям следует использовать автоматизированные решения, сочетающие анализ данных киберразведки и возможности машинного обучения.