Мошенники используют конкурс детских рисунков для кражи аккаунтов в Telegram

Злоумышленники рассылают со взломанных аккаунтов ссылки на фейковое голосование в конкурсе детских рисунков, а затем предлагают настроить «официальный» прокси для Telegram. Выявлено около 150 мошеннических ресурсов.

На фоне сохраняющихся слухов о возможных ограничениях работы Telegram в России мошенники запустили новую многоходовую схему, нацеленную на кражу аккаунтов. Как сообщили ТАСС в ИБ-компании F6, злоумышленники рассылают сообщения со взломанных аккаунтов, предлагая пользователям проголосовать в конкурсе детских рисунков. Ссылка ведет на страницу с голосованием, после чего жертву перенаправляют на фальшивые сайты, оформленные в стиле Telegram. Всего специалисты выявили около 150 таких ресурсов.

Схема построена на эксплуатации сразу нескольких уязвимостей — социальной инженерии, доверия к знакомым отправителям и тревожности вокруг работы мессенджера. Пользователь, получивший сообщение от взломанного друга, переходит по ссылке, чтобы поддержать ребенка в конкурсе. Далее система предлагает «официально» настроить прокси для Telegram, якобы для обеспечения стабильного доступа.

Как отметил ведущий аналитик департамента защиты от цифровых рисков F6 Илья Савин, подключение к таким прокси может привести к перехвату пользовательских данных. Однако главная опасность кроется на следующем этапе. Злоумышленники, оставаясь на связи с жертвой, просят «подтвердить голос» на поддельном сайте. На деле это стандартная форма ввода одноразового кода подтверждения для Telegram. Если у пользователя не подключен облачный пароль (двухфакторная аутентификация), аккаунт переходит в руки мошенников в течение нескольких минут.

Примечательно, что для придания правдоподобности злоумышленники используют техническую терминологию. На фальшивых сайтах упоминается криптографический протокол MTProto и сервер MTProxy — реальные технологии, разработанные для Telegram. Это создает иллюзию легитимности и снижает бдительность даже технически подкованных пользователей.