С осени 2022 года количество краж Telegram-аккаунтов и каналов выросло в 67 раз, согласно исследованию «Ведомостей». В декабре 2022 года даже Минцифры предупреждало, что количество массовых угонов аккаунтов пользователей в Telegram увеличилось (приходилось покупать профили в этом разделе). И хотя все схемы похожи друг на друга, мошенники продолжают разрабатывать новые способы кражи.
В этой статье рассмотрим схему угона канала, с которой мошенники работают сейчас, поговорим о том, как отличить нормальное предложение от скама и на что обращать внимание при общении со злоумышленниками.
Чаще всего воруют каналы с целью заработать. Либо чтобы после угона предлагать доверчивым подписчикам скам, либо, чтобы вернуть украденное за «выкуп».
И хотя всем понятно, что переходить по ссылкам незнакомых людей не нужно, аккаунты и каналы угоняют также часто. Почему это происходит, если все уже давно знают, как могут действовать мошенники?
Причина в креативности злоумышленников и в длительном бездействии техподдержки в случае проблем. Часто мошенники умеют прятать фишинговые ссылки под вполне безобидные предложения. Например, с конца 2022 года они смогли массово реализовать следующие схемы:
Способов может быть много, но суть всегда одна — мошенники получают данные от аккаунта, а владелец остается один на один с этой проблемой.
На этом моменте можно было бы сказать, что все перечисленные схемы уже наверняка не работают и не приносят результата. На поверку это оказывается не так. С весны 2023 года мошенники вновь используют старую схему, знакомую еще с прошлого года — запрос статистики канала.
Так как многие рекламодатели запрашивают расширенную статистику, это не вызывает вопросов у владельцев канала. Ее можно снять на сторонних сервисах: Tgstat, Telemetr, Combot и так далее. Этим пользуются мошенники: сначала усыпляют внимание жертвы, запрашивая информацию через какой-то из этих сервисов.
Сейчас под удар попал Telemetr — злоумышленники говорят, что им нужно получить дополнительные данные и присылают ссылку на telemetr.me. На официальном сайте для получения расширенной статистики нужно войти через Telegram или через аккаунт ВКонтакте.
Но вот в чем хитрость — через форматирование они меняют ссылку на фишинговый сайт с доменом, например, telemetr.store. В результате владелец уверен, что переходит на сайт Telemetr, хотя на самом деле оказывается на подставном ресурсе. На что можно обратить внимание, кроме ссылки, — возможность авторизации только через Telegram, хотя на настоящем сайте можно зайти в личный кабинет разными способами.
Об этой схеме мошенничества писал и сам Telemetr на своем канале, после того, как в апреле этого года люди стали жаловаться на кражу каналов.
В комментариях у официального канала уточняли информацию по поводу ссылок, которые отправляют «рекламодатели».
Рассмотрим, как обычно разворачивается схема обмана.
В личные сообщения стучится потенциальный клиент, который готов купить рекламу на канале. Беседа начинается непринужденно, с банальных вопросов:
Никаких подозрительных моментов на этом этапе не возникает — все как обычно при обсуждении рекламы в канале. Мошенник усыпляет внимание владельца и пытается войти в доверие.
После небольшого общения мошенник запросит у вас расширенную статистику. Это не значит, что в ту же секунду он отправит ссылку на фишинговый сайт. Некоторые мошенники ухитряются продвинуть поддельный Telemetr в самый верх поисковой выдачи.
Продвинутые мошенники не будут давить на владельца канала сразу — сначала они просто спрашивают, удалось ли перейти по ссылке, получилось ли с Telemetr, когда будет статистика. И это не в один день, а раз в 2-3 дня.
Даже если владелец канала не переходит по ссылке сразу, он может передумать через пару недель и попробовать авторизоваться. Как мы уже сказали чуть раньше, на фишинговых сайтах не дают возможности зарегистрироваться разными способами, это возможно только через Telegram. На моменте авторизации и начинается самое интересное.
При попытке авторизации на аккаунте появляется новое устройство в активных сеансах.
Те, кто не проверяет активные сеансы, даже не заметят, что происходит кража аккаунта. Обычно они подходят к вопросу с такими мыслями: «Ну это же Telemetr, он себя давно зарекомендовал». И, переходя по отформатированной ссылке, дают права на канал и ждут расширенную статистику.
Спустя какое-то время владельца выкидывает с его аккаунта. Зайти обратно он уже не может. Основной аккаунт удален, а права на канал передаются другому аккаунту. Все то, что человек накапливал годами уходит в никуда. При попытке повторно зайти на основной аккаунт Telegram предлагает завести новую учетную запись без возможности восстановить прошлую.
Мошенники делают канал приватным и меняют его ID. Здесь есть несколько вариантов:
Вернуть аккаунт через поддержку будет сложно. Некоторым счастливчикам везет — им возвращают аккаунты через несколько часов. Но многим приходится ждать не один месяц, прежде чем они вернут все обратно.
Какой бы глупой и очевидной ни казалась эта схема, от нее уже пострадали многие крупные каналы. Некоторым из них пришлось перейти на другие свои ресурсы в Telegram, чтобы предупредить других о подобной схеме.
Например, админ канала @Frau_Marussja рассказывала про то, что по такой схеме у нее пытались «купить рекламу» на нескольких каналах.
В итоге беседы кинули ссылку на Telemetr под предлогом получения расширенной статистики.
Админ канала на этот трюк не повелся, так как сразу проверил ссылку на Telemetr. Но не всегда можно обратить внимание на эту мелочь.
Некоторым приходится развивать новый канал с нуля. Например, автор канала про крипту на 6 500 подписчиков также недавно потерял его из-за злосчастной ссылки на Telemetr. Вернуть его не получилось, поэтому он начал заново все развивать.
Чтобы не попасть на уловку мошенников, не переходите на ссылки, которые они присылают. Да, это кажется простым и понятным, но количество обманутых владельцев каналов подтверждает, что с этим еще есть проблемы. Даже если кажется, что это домен известного сервиса, перепроверьте саму ссылку. Как мы уже увидели, мошенники пользуются невнимательностью владельцев каналов — лихо меняют текст оригинальной ссылки на фишинговую.
Нет ничего страшного в том, чтобы снимать расширенную статистику по каналу и передавать ее рекламодателю. Но если они присылают сами какие-то ссылки, ботов или странные файлы, стоит задуматься. Как уберечься от мошенников:
Ни в коем случае не нужно платить мошенникам, какую бы они сумму не предложили. Ведь они просто вытянут из вас денег, а доступ к аккаунту так и не вернут. Попробуйте обратиться в специальный бот поддержи @notoscam и предоставить все доказательства мошенничества, если они остались.