В Telegram-чатах розсилають посилання на фальшиві сайти. З їх допомогою зловмисники можуть отримати повний доступ до облікового запису у Telegram. Як це працює розповів у Twitter користувач під ніком «Мольфар».

Користувачам зламують акаунти та від їхнього імені розсилають посилання на фішингові сайт. Зазвичай у повідомлені дописують щось на кшталт «беру участь в конкурсі, проголосуй будь ласка».

Посилання на домені konkurs-golos[.]ltd, дані якого приховані, а сам домен хоститься на CloudFlare. Це сервіс, що надає мережеві послуги доставки контенту. Домен проплачений лише два тижні тому.

Зображення: Мольфар

За посиланням завантажується відкритий код від Telegram Web. «Тільки в очі кидається дивний лог і криптомайнер. Якщо трохи побавитись з фейковими номерами, то вилазять помилки API телеграму і знову ті дивні логи», – каже «Мольфар». Він також зміг знайти у коді сайту шматок, який є дописаним до оригінального коду.

Зображення: Мольфар

Ось як працює сам спосіб злому: людина авторизується через дійсний клієнт Telegram, їй відкривається месенджер – все як повинно. Тільки в момент авторизації дані зливаються на інший піддомен. Якщо у користувача стоїть якась перевірка на цьому етапі цей фішинговий сайт переводить на ще один піддомен, де російською мовою є кілька питань та поля для відповіді. За допомогою цього фішингового способу, зловмисники отримають повний доступ до вашого облікового запису в Telegram, до всіх листувань, включно із вкладеннями.