С осени 2022 года количество краж Telegram-аккаунтов и каналов выросло в 67 раз, согласно исследованию «Ведомостей». В декабре 2022 года даже Минцифры предупреждало, что количество массовых угонов аккаунтов пользователей в Telegram увеличилось (приходилось покупать профили в этом разделе). И хотя все схемы похожи друг на друга, мошенники продолжают разрабатывать новые способы кражи.
В этой статье рассмотрим схему угона канала, с которой мошенники работают сейчас, поговорим о том, как отличить нормальное предложение от скама и на что обращать внимание при общении со злоумышленниками.
Угоны каналов в Telegram: как это работает и почему
Чаще всего воруют каналы с целью заработать. Либо чтобы после угона предлагать доверчивым подписчикам скам, либо, чтобы вернуть украденное за «выкуп».
- Большая часть мошенничества в Telegram работает по привычной классической схеме фишинга. Злоумышленники побуждают перейти на их ресурс, чтобы выкрасть учетные данные от аккаунта. Как обычно это работает:
- В личку приходит предложение от незнакомого, а иногда даже знакомого аккаунта. Предложения бывают разные — от просьбы рекламного размещения до подписки на Telegram Premium.
- Жертва переходит по ссылке, нажимает на кнопку или скачивает файл. На этом этапе мошенники спокойно получают доступ к аккаунту.
- После этого злоумышленники сносят ботов, админов канала и забирают его себе. А настоящий владелец остается с разбитым корытом, без доступа к своему каналу.
И хотя всем понятно, что переходить по ссылкам незнакомых людей не нужно, аккаунты и каналы угоняют также часто. Почему это происходит, если все уже давно знают, как могут действовать мошенники?
Причина в креативности злоумышленников и в длительном бездействии техподдержки в случае проблем. Часто мошенники умеют прятать фишинговые ссылки под вполне безобидные предложения. Например, с конца 2022 года они смогли массово реализовать следующие схемы:
- Ссылка на фишинговый сайт, который будет выглядеть как реально существующая платформа. Обычно такие ссылки отличаются всего одной буквой — владельцы канала даже не поймут, в чем проблема.
- Предложение протестировать новый VPN-сервис. Мошенники просят установить его на компьютер или телефон после прохождения «регистрации».
- Скачивание архива. Обычно с таким приходят «рекламодатели», которые присылают пост на публикацию в rar-файле. Как только владелец канала распакует папку, мошенник похитит корневую папку со всеми паролями, кэшем и личными данными.
- Создание дубликата SIM-карты. Эта схема отлично работает, если владелец аккаунта находится вне зоны доступа. Например, при перелете на самолете. В это время мошенник создает дубликат SIM и спокойно заходит в аккаунт. Жертва этого даже не заметит.
- Продажа аккаунта. В этом случае покупатель может прислать ссылку на гарант, будто бы и вам, и ему так будет безопаснее. Но в итоге оказывается, что это типичный фишинговый сайт.
Способов может быть много, но суть всегда одна — мошенники получают данные от аккаунта, а владелец остается один на один с этой проблемой.
Что за новая схема угона и как ее реализуют
На этом моменте можно было бы сказать, что все перечисленные схемы уже наверняка не работают и не приносят результата. На поверку это оказывается не так. С весны 2023 года мошенники вновь используют старую схему, знакомую еще с прошлого года — запрос статистики канала.
Так как многие рекламодатели запрашивают расширенную статистику, это не вызывает вопросов у владельцев канала. Ее можно снять на сторонних сервисах: Tgstat, Telemetr, Combot и так далее. Этим пользуются мошенники: сначала усыпляют внимание жертвы, запрашивая информацию через какой-то из этих сервисов.
Сейчас под удар попал Telemetr — злоумышленники говорят, что им нужно получить дополнительные данные и присылают ссылку на telemetr.me. На официальном сайте для получения расширенной статистики нужно войти через Telegram или через аккаунт ВКонтакте.
Но вот в чем хитрость — через форматирование они меняют ссылку на фишинговый сайт с доменом, например, telemetr.store. В результате владелец уверен, что переходит на сайт Telemetr, хотя на самом деле оказывается на подставном ресурсе. На что можно обратить внимание, кроме ссылки, — возможность авторизации только через Telegram, хотя на настоящем сайте можно зайти в личный кабинет разными способами.
Об этой схеме мошенничества писал и сам Telemetr на своем канале, после того, как в апреле этого года люди стали жаловаться на кражу каналов.
Самые высокие ставки по RU, BY, KZ от прямого рекламодателя FONBET PARTNERS!
К заливам!
В комментариях у официального канала уточняли информацию по поводу ссылок, которые отправляют «рекламодатели».
Рассмотрим, как обычно разворачивается схема обмана.
Шаг 1. «Привет, уточните по рекламе?»
В личные сообщения стучится потенциальный клиент, который готов купить рекламу на канале. Беседа начинается непринужденно, с банальных вопросов:
- Сколько сейчас стоит размещение рекламы?
- Какие условия? Что нужно для рекламного поста?
- Есть ли свободные места?
Никаких подозрительных моментов на этом этапе не возникает — все как обычно при обсуждении рекламы в канале. Мошенник усыпляет внимание владельца и пытается войти в доверие.
Шаг 2. Запрос статистики
После небольшого общения мошенник запросит у вас расширенную статистику. Это не значит, что в ту же секунду он отправит ссылку на фишинговый сайт. Некоторые мошенники ухитряются продвинуть поддельный Telemetr в самый верх поисковой выдачи.
Продвинутые мошенники не будут давить на владельца канала сразу — сначала они просто спрашивают, удалось ли перейти по ссылке, получилось ли с Telemetr, когда будет статистика. И это не в один день, а раз в 2-3 дня.
Даже если владелец канала не переходит по ссылке сразу, он может передумать через пару недель и попробовать авторизоваться. Как мы уже сказали чуть раньше, на фишинговых сайтах не дают возможности зарегистрироваться разными способами, это возможно только через Telegram. На моменте авторизации и начинается самое интересное.
Шаг 3. Угон аккаунта и канала
При попытке авторизации на аккаунте появляется новое устройство в активных сеансах.
Те, кто не проверяет активные сеансы, даже не заметят, что происходит кража аккаунта. Обычно они подходят к вопросу с такими мыслями: «Ну это же Telemetr, он себя давно зарекомендовал». И, переходя по отформатированной ссылке, дают права на канал и ждут расширенную статистику.
Спустя какое-то время владельца выкидывает с его аккаунта. Зайти обратно он уже не может. Основной аккаунт удален, а права на канал передаются другому аккаунту. Все то, что человек накапливал годами уходит в никуда. При попытке повторно зайти на основной аккаунт Telegram предлагает завести новую учетную запись без возможности восстановить прошлую.
Шаг 4. Скам, перепродажа или шантаж
Мошенники делают канал приватным и меняют его ID. Здесь есть несколько вариантов:
- Начинают постить скам-посты с сомнительными ссылками. Доверчивая аудитория переходит, а мошенник получает деньги;
- Перепродают аккаунт с большой аудиторией подороже;
- Предлагают владельцу выкупить свой же канал обратно.
Вернуть аккаунт через поддержку будет сложно. Некоторым счастливчикам везет — им возвращают аккаунты через несколько часов. Но многим приходится ждать не один месяц, прежде чем они вернут все обратно.
Что делать с мошенниками
Какой бы глупой и очевидной ни казалась эта схема, от нее уже пострадали многие крупные каналы. Некоторым из них пришлось перейти на другие свои ресурсы в Telegram, чтобы предупредить других о подобной схеме.
Например, админ канала @Frau_Marussja рассказывала про то, что по такой схеме у нее пытались «купить рекламу» на нескольких каналах.
В итоге беседы кинули ссылку на Telemetr под предлогом получения расширенной статистики.
Админ канала на этот трюк не повелся, так как сразу проверил ссылку на Telemetr. Но не всегда можно обратить внимание на эту мелочь.
Некоторым приходится развивать новый канал с нуля. Например, автор канала про крипту на 6 500 подписчиков также недавно потерял его из-за злосчастной ссылки на Telemetr. Вернуть его не получилось, поэтому он начал заново все развивать.
Чтобы не попасть на уловку мошенников, не переходите на ссылки, которые они присылают. Да, это кажется простым и понятным, но количество обманутых владельцев каналов подтверждает, что с этим еще есть проблемы. Даже если кажется, что это домен известного сервиса, перепроверьте саму ссылку. Как мы уже увидели, мошенники пользуются невнимательностью владельцев каналов — лихо меняют текст оригинальной ссылки на фишинговую.
Нет ничего страшного в том, чтобы снимать расширенную статистику по каналу и передавать ее рекламодателю. Но если они присылают сами какие-то ссылки, ботов или странные файлы, стоит задуматься. Как уберечься от мошенников:
- Включите двухфакторную идентификацию. При авторизации на новом устройстве Telegram запросит пароль и код, тем самым защитит вашу учетную запись от несанкционированного входа;
- Открывайте оригинальные ссылки самостоятельно;
- Проверяйте «Активные сеансы» в настройках аккаунта. Если там есть незнакомое устройство не из вашего города, пора бить тревогу и сбрасывать все сеансы;
- Не передавайте никакие коды, даже если их просит ваш знакомый;
- Отключите автозагрузку файлов с Telegram.
Ни в коем случае не нужно платить мошенникам, какую бы они сумму не предложили. Ведь они просто вытянут из вас денег, а доступ к аккаунту так и не вернут. Попробуйте обратиться в специальный бот поддержи @notoscam и предоставить все доказательства мошенничества, если они остались.
