В Telegram-чатах рассылают ссылку на фальшивые сайты. С их помощью злоумышленники могут получить полный доступ к аккаунту в Telegram. Как это работает, рассказал в Twitter пользователь под ником «Мольфар».
Пользователям взламывают аккаунты и от их имени рассылают ссылку на фишинговый сайт. Обычно в сообщении пишут что-то вроде «участвую в конкурсе, проголосуй пожалуйста».
Ссылка на домене konkurs-golos[.]ltd, данные которой скрыты, а сам домен хостится на CloudFlare. Это сервис, предоставляющий сетевые услуги доставки контента. Домен проплачен всего две недели назад.
По ссылке загружается открытый код от Telegram Web. «Только в глаза бросается странный лог и криптомайнер. Если немного поиграть с фейковыми номерами, то вылезают ошибки API телеграма и снова те странные логи», – говорит «Мольфар». Он также смог найти в коде сайта кусок, который приписан к оригинальному коду.
Вот как работает сам способ взлома: человек авторизуется через действительный клиент Telegram, ему открывается мессенджер – все как должно. Только в момент авторизации данные сливаются на другой поддомен. Если у пользователя стоит какая-то проверка на этом этапе, этот фишинговый сайт переводит на еще один поддомен, где на русском языке есть несколько вопросов и поля для ответа. С помощью этого фишингового способа злоумышленники получат полный доступ к вашей учетной записи в Telegram, ко всем перепискам, включая вложения.