В этом году прокатилась волна скама в телеграме через стиллер, который ворует данные пользователей с их компьютера, под видом рекламным агентов и менеджеров , в большинстве они пишут текст среднего уровня и отправляют ссылку на скачивание видео, программы, на фейковых лендингах, которые создаются за 10$ с покупкой домена.
В данной статье вы узнаете:
- Как обманывают администратора канала и отправляют ему вирус(или другой вредонос) для получения доступа к каналу.
- Как именно получают доступ к аккаунту администратора в телеграме.
- Как именно заходят в чужой аккаунт в телеграме без уведомлений.
- О том как обезопасить себя от скамеров (Полезно не только админам телеграм каналов).
Что требуется мошеннику для кражи?
- Софт для кражи данных, или софт для удаленного управления компьютером.
- Криптор (штука которая зашифровывает ваш файл дабы его не увидел антивирус).
- Аккаунт в телеграме и понимание как работают админы в нём.
Шаг первый – покупка / регистрация аккаунт через активаторы
Шаг второй – заполнение аккаунта
Под вид менеджера либо оставляют как есть, но для доверия заполняют все по максимуму и вписывают в официальную почту сайта/программы, но делают ее по такому примеру:
следите за буквами!
Реальная ссылка:
kasperskylab@gmail.com
Ссылка Фейк:
- kasperskyIab@gmail.com
- kasrerskylab@gmail.com
- kasperckylab@gmail.com
- kasperskylad@gmail.com
- kosperskylab@gmail.com
Шаг третий – покупают / скачивают софт для кражи или-же удаленного доступа.
Шаг четвертый – Криптуют (скрытие от антивируса) , меняют расширение (doc,exe, scr, png, jpj), склеивают файлы(совмещают файлы) и получают готовый файл под наш шаблон.
В нашем конкретном случае это будет Dogovor.exe который закриптован (зашифрован от антивируса и соединен с doc) и далее склеен с файлом dorovor_po_okazaniy_ysly.doc, чуть ниже вы это наглядно увидите.
Шаг пятый – находят жертву, рассказывать как её ищут не буду, но для вас я делаю это все на двух виртуальных машинах и «жертвой» выступаю сам я.
Шаг шестой – Пишут жертвам, обсуждают условия, цену, места и только после этого втюхивают то, что они хотят втюхать.
(В телеграм, на данный момент, впаривают проморолик с расширением .SCR, который является вирусом )
Шаг седьмой – После того как мошенник пообщался с жертвой, он скидывает файл, якобы это обычная формальность.
Шаг восьмой – Человек открывает файл и мы получаем вот это (Он открывает файл и получает действительно реальный договор, но вместе с ним он получает так же и мой файл, который и запускает сам вирус или иной вредонос)
Шаг девятый – Скачивает портабельную версию телеграма и с лога жертвы отправляет файлы в портейбл телеграм.
Шаг десятый – После мошенник открывает телеграм и видим вот это.
Мошенник уже находится в Телеграм аккаунте жертвы
Причем нам не пришло уведомление от Телеграм о том, что кто-то зашел в аккаунт, которые обычно сразу рассылается.
Какие возможности есть у мошенника
- Обмануть людей на рекламу – поменять описание канала.
- Угнать канал получится в случае если ваш стиллер украл пароль от 2fa, который находится в текстовых документах на компьютере у жертвы где либо, либо бы как автозаполнение в браузере на web.telegram.org.
- Угнать аккаунт с помощью вируса удаленного доступа, то есть мошенник дожидается пока жертва уходит или отходит от пк и угоняет канал, либо ставит 2fa сам, но оставляет администратору доступ к каналу.
- Выгрузить все переписки и использовать в качестве компромата ( интим, переписки и т.д ).
Думаю на этом стоит закончить и перейти к моменту по безопасности админов…
Безопасность
Что следует делать чтобы не остаться без канала, аккаунта и личных данных с
помощью данной схемы?
– Хранить пароли в менеджерах паролей по типу KepasssXS, а в идеале — в аппаратном
кошельке, к примеру в одном из самых безопасных криптокошельков — Trezor имеется функция хранения паролей.
– Не переходить по странным ссылкам!
– Не скачивать файлы от знакомых / не знакомых людей, даже если вы их
проверили и файл оказался чистыми на Virustotal, через день — два, он будет
грязным как правило.
– Поставить 2fa на телеграм и не хранить свои пароли в телефоне, заметках, на
рабочем столе, блокноте в архиве, а так же не клеить свои пароли на стикеры
рядом с монитором!!!
– Проверять контакты людей дабы не быть обманутыми, и их реквезиты если они
изменились, узнать почему они изменились и уточнить у своего комьюнити
админов что такое и почему.
– Использовать антивирус, как ни странно он обычно помогает в некоторых
случаях предотвратить открытие потенциального вируса.
– Не раскрывать свои персональные данные незнакомым людям и она показ
остальным, так как с помощью этих данных возможна ваша дискредитация.
– Не покупайте ворованные телеграм каналы, проверяйте владельцев через
Telemetr во вкладке контакты и уточняйте каким образом попал канал в руки
другого человека.
Используя данные правила, советы вы уже сможете обезопасить себя от действий мошенника.
Но поскольку большинство людей не знают даже элементарных правил интернет безопасности и гигиены, попробуем подробнее объяснить некоторые основные правила:
Итак, как мы уже знаем, чаще всего те, кто ворует у вас канал, обычно действуют по двум схемам — либо это «ссылка», либо это обход двухфакторной авторизации( 2fa ).
Рассмотрим эти случаи ещё раз:
В бот(программу робот) обратной связи, администраторам канала присылали ссылку, рекламную/ссылку на публикацию, якобы по теме/ссылку на дополнение, а администраторы — будь они хоть трижды опытными публицистами — оказались просто безграмотны в техническом плане.
Они взяли и перешли по ссылке.
При этом моментально произошёл перехват сессии устройства, с которого администратор зашёл в сеть.
В случае, если администратор перешёл по ссылке с аккаунта владельца канала (либо на телефоне/планшете была авторизация одновременно в аккаунтах и администратора, и владельца) — доступ был утрачен.
У двоих людей увели каналы, представившись рекламными агентами Тинькофф и предложив зарегистрироваться по якобы их реферальной ссылке.
Не нажимайте на скрытые ссылки.
Предпросмотр в телеграм помогает облегчить жизнь. Если предпросмотр не работает, лучше скопируйте ссылку в блокнотик, покрутите, рассмосмотрите её, убедитесь, что она нормальная(часто по тому, что написано в ссылке латиницей, можно увидеть достаточно, чтобы определить что-то подозрительное)
Даже если ссылку прислал знакомый. Даже если её переслал фанат.
Схема похищения канала с двухфакторной авторизацией:
Создаётся дубль номера, на который завязан канал (кто-то пренебрегает собственной конфиденциальностью и раздаёт свой номер направо и налево, журналисты светятся в базах, а кто-то палится через оплату рекламы со своей собственной карты).
После этого через этот дубль генерируется запрос в телеграм. Когда дело доходит до двухфакторной авторизации, её можно обойти через привязанную почту. И как вы думаете, что за номер указан для восстановления привязанной почты?
Бинго — тот же самый, что и для уже известного аккаунта в телеграме.
Несколько простых правил безопасного использования Telegram:
🔹 Заведите привычку ежедневно проверять список активных сессий на вашем устройстве.
При этом даже если в Ваш аккаунт подключился посторонний человек — в течение суток он не сможет Вас с Вашего устройства вышвырнуть. Поэтому проверять список активных сессий в настройках аккаунта желательно ежедневно.
🔹 Переведите Ваш канал на другой аккаунт владельца.
На тот номер, который никому неизвестен. Кто-то предпочитает физический номер, но можно просто взять, купить виртуальный номер какого-нибудь Восточного Тимора или Монако, зарегистрировать на него аккаунт, настроить уникальный пароль для двухфакторной авторизации, завести почту на protonmail с уникальным логином и паролем, а в качестве восстановления к почте привязать номер лучшего друга, которому доверяете.
🔹 Не пользуйтесь аккаунтом владельца в повседневной жизни.
Не пишите с него. Не контактируйте. Его никто не должен знать.
Не присваивайте ему короткого имени.
Проставьте все настройки конфиденциальности.
Залогиньтесь на нём на каком-нибудь своём старом телефоне и ноутбуке. И периодически проверяйте, чтобы с ним всё было хорошо.
Сидите и пишите с аккаунта администратора, а не владельца канала.
🔹В идеале если на ссылки нет предосмотра- не переходите по ссылкам. Вообще.
🔹 Очень Важно!, никогда не используйте свои личные банковские карты.
Лучше использовать дискретные или анонимные карты, где вы имеете возможность самостоятельно контролировать остаток суммы. Погуглите, что такое «даркнет» хотя бы, скачайте себе Tor и купите на какой-нибудь Гидре, киви-кошелек с реальной анонимкой.
А в идеале — научитесь пользоваться криптовалютой.
🔹 Не пренебрегайте программами для защиты и безопасности!
Если вы пользуетесь десктопной версией Телеграм(для ПК) на операционной системе Виндовс, заранее позаботьтесь о качественной защите с помощью Антивируса и Файервола, в довесок можно также установить и программы для более тонких и глубоких анализов и обнаружения вредоносов.
Будьте бдительны друзья! И всегда помните, что самой Большой «дырой» в интернет безопасности, является — сам пользователь.