Без взлома и пыли: в Telegram появился новый способ мошенничества с кражей юзернеймов

Мошенники в Telegram начали использовать новый метод, который позволяет красть юзернеймы каналов и групп, что представляет угрозу как для их владельцев и администраторов, так и для подписчиков. Об этом «Известиям» рассказали эксперты платформы «Мошеловка», выявившие очередную уловку в ходе мониторинга мессенджера. Метод довольно простой: аферисты создают полностью идентичные с виду ники за счет подмены латинской строчной «эль» на латинскую же прописную «ай». Затем они или выставляют канал на продажу, или предлагают предпринимателям разместить рекламу, или угрожают размещением компромата. Кроме того, мошенники пользуются украденными каналами и группами для публикации фишинговых ссылок, что представляет угрозу для обычных пользователей. Чем новый метод отличается от уже использовавшихся «атак по омоглифу», когда для подмены адресов использовались графически одинаковые символы с разным значением, — в материале «Известий».

Создать клон

На новый прием мошенников в Telegram обратили внимание администраторы нескольких каналов. Один из них, Павел, рассказал «Известиям», что этот способ сейчас активно распространяется на платформе. По его словам, аферисты постоянно совершенствуют свои методы. Так, помимо взломов еще недавно они использовали и другие приемы. Например, многочисленные боты приходили в публичные каналы, администраторы которых перестраховывались и скрывали их. При этом публичные каналы похищали аферисты. Эту уязвимость устранили. Но мошенники обнаружили новую, которая лежала на поверхности.

Как рассказали «Известиям» в «Мошеловке», прием чрезвычайно простой и основан на чувствительности к регистру символов Telegram при написании имен каналов и профилей пользователей. Если вместо строчной «эль» набрать заглавную «ай», то внешне это будет выглядеть абсолютно идентично.

— Злоумышленникам достаточно просто создать клон учетной записи с одной отличной буквой, снабдить ее украденным контентом и фотографиями. После этого мошенникам будет гораздо легче обманывать аудиторию канала и список контактов своей жертвы, просить перейти по фишинговым ссылкам или отправлять деньги, — пояснила координатор платформы «Мошеловка» Евгения Лазарева.

Действительно, создавая дублер, аферисты выставляют канал на продажу, предлагают предпринимателям размещение рекламы или шантажируют размещением компромата. А главное — публикуют фишинговые ссылки, что создает угрозу для подписчиков.

Из одного алфавита

В целом техника подмены букв и цифр для создания поддельных сайтов и почтовых адресов, которую мошенники используют для фишинга или попытки взлома, существует давно, напомнили в Group-IB. Но раньше злоумышленники применяли так называемые омоглифы, графически одинаковые или похожие друг на друга знаки, имеющие разное значение.

Например, заглавную букву О и цифру 0 легко можно перепутать. Омоглифы могут возникать при использовании разных алфавитов — скажем, латинская буква H («эйч») и буква кириллицы Н («эн») очень похожи.

Есть такой термин — атака по омоглифу (от англ. homoglyph attack), пояснили в Group-IB. Это происходит в том случае, когда мошенник использует символы из разных языков или символы разных шрифтов, чтобы подделать сайты, почтовые адреса или другие сетевые ресурсы. Например, «адрес» может быть представлен как «аԁгес». При этом первый вид адреса является правильным, а второй — поддельным.

Новый прием основывается на буквах из одного алфавита, и это прецедент. И при этом, если омоглифы всё же различаются, то в данном случае в Telegram строчная «эль» и прописная «ай» полностью идентичны. Что, по мнению, Евгении Лазаревой, несет достаточно серьезную угрозу как для владельцев каналов и профилей, так и для аудитории или взаимодействующих с ними пользователей.

— Уязвимость позволяет подделать и скомпрометировать каналы и профили. Для обычных пользователей такой способ опасен тем, что аферисты распространяют фишинговые ссылки через каналы-клоны. Подписчики, привыкшие доверять авторам и администраторам, без тени сомнения открывают их. А это чревато риском стать жертвой мошенников, — уточнила координатор платформы «Мошеловка».

При этом, как считает аналитик отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Владислав Иванов, этот способ вряд ли будет распространен для подделки юзернеймов обычных пользователей, поскольку у мошенников нет их контактов. Да и нерентабельно тратить время и силы на конкретных людей, чтобы потом рассылать от их имени фишинговые ссылки. Проще действовать от имени каналов с достаточным количеством подписчиков.

Также подделка никнеймов пользователей не оправдывает себя, уверен эксперт, поскольку человека может насторожить пустой чат с отсутствием прошлой переписки.

С этим не согласилась Евгения Лазарева.

— Многие пользователи и каналы, особенно закрытые и секретные, пользуются функцией очистки чатов и удаления контента, — поясняет она. — Поэтому даже если возникнут вопросы по поводу отсутствия каких-то записей и диалогов, у злоумышленников будет вполне убедительное объяснение. Ну и в целом пользователи Сети, не только Telegram, часто невнимательны и редко обращают внимание на правильность написания ссылок, что позволяет мошенникам довольно успешно обманывать граждан в Сети.

Средство защиты

Конечно, как заметила координатор платформы «Мошеловка», устранение этой уязвимости могло бы обезопасить невнимательных пользователей.

— Также и упрощение процедуры получения галочек, маркирующих официальные профили и каналы, могло бы помочь. Но и самим гражданам стоит быть внимательнее и осторожнее. В противостоянии мошенникам мы по-прежнему считаем бдительность главным инструментом, — подчеркнула она.

Сам по себе напрашивается совет избегать использования латинских строчной «эль» и прописной «ай» в никнейме.

— В том случае, если подделывается никнейм администратора крупной Telegram-группы, риск обмана можно уменьшить с помощью простой проверки. Перейдите в эту группу и посмотрите на контакты, которые там указаны. В описании популярных групп всегда дается как минимум один профиль человека, ответственного за рекламу и внешнее взаимодействие, — порекомендовал Владислав Иванов.

В принципе, если контент или что-то на канале или в группе кажется подозрительным, лучше воздержаться от переходов по ссылкам, которые там публикуются.

Как сообщили «Известиям» в пресс-службе Роскомнадзора, по закону о самоконтроле социальных сетей (№ 530-ФЗ) администрация интернет-площадки должна самостоятельно выявлять и блокировать противоправные материалы.

— Для жалоб пользователей на размещение такого контента и его оперативного удаления соцсети обязаны иметь форму обратной связи. Роскомнадзор взаимодействует с администрациями социальных сетей для предотвращения распространения недостоверной информации, — отметили в ведомстве.

Там уточнили, что пожаловаться на размещение такого контента в Сети граждане могут на сайте ведомства.

Кроме того, пресс-служба Роскомнадзора напомнила, что мошенничество, в том числе в интернете, — уголовно наказуемое деяние. Граждане, пострадавшие от действий злоумышленников, могут обратиться в правоохранительные органы.

«Известия» направили запрос в МВД. А также обратились с вопросами к чат-бот Telegram для контактов со СМИ, но не получили ответов.

Анна Каледина

Тематики: Web, Безопасность

Ключевые слова: информационная безопасность, мобильное мошенничество, Telegram