По данным аналитиков, пользователи Telegram начали получать сообщения от фейковой службы поддержки, утверждавшей, что была подана заявка на удаление их аккаунта. Поскольку сами пострадавшие не запрашивали удаление учетной записи, им предлагалось перейти по ссылке для отмены процедуры. В результате владельцы учетных записей попадали на фишинговый ресурс, на котором им требовалось указать свой номер телефона, привязанный к аккаунту, и полученный от Telegram код безопасности.
Фейковая страница внешне имитировала дизайн официального мессенджера, создавая ложное впечатление безопасности. Подтвердив указанные данные, хакеры получали доступ к учетной записи и могли просматривать архивы, переписки, а также управлять каналами в случае, если пострадавший был их администратором или владельцем.
Кроме того, фишинговый ресурс проводил моментальную проверку введенных данных: в случае некорректной информации страница сообщала об ошибке.
Злоумышленники, рассылающие ссылки на фишинговые ресурсы в личных сообщениях, не нуждались в большом количестве подобных страниц. Для них был достаточен один активный ресурс и запасной домен для случая блокировки основного.
Эксперты F.A.C.C.T. рекомендуют пользователям Telegram использовать все доступные средства безопасности в приложении, включая установку облачного пароля. Также не следует передавать одноразовые коды безопасности третьим лицам, даже если они представляются как "службы поддержки". Важно также тщательно проверять легитимность сайтов, на которые предлагается перейти в подозрительных ситуациях, используя, например, whois-сервисы для определения информации о давности создания сайта.
