Аккаунты в Telegram угоняют ради звезд и NFT-подарков - «Новости»

Аналитики F6 (бывшая FACCT) изучили кражи аккаунтов пользователей Telegram. По данным исследователей, количество угонов учетных записей с помощью фишинговых ресурсов за второе полугодие 2024 года увеличилось на 25,5% по сравнению с аналогичным периодом 2023 года.

За период с июля по декабрь 2024 года только одна неназванная русскоязычная хак-группа похитила более 1 244 000 учетных записей пользователей из России и из других стран. Это на 25,5% больше по сравнению с результатами второго полугодия 2023 года аналогичной хак-группы, специализирующейся на угоне аккаунтов.

В целом на момент проведения исследования специалисты обнаружили не менее семи таких групп.

Средняя цена продажи аккаунтов Telegram, зарегистрированных на российские номера, составляет в даркнете около 160 рублей (на 10 рублей больше, чем в первом полугодии 2024 года).

Стоимость учетной записи варьируется в зависимости от наличия премиум-подписки, административных прав или владения каналом, количества диалогов, а также продолжительности «отлежки» — периода, в течение которого аккаунт оставался неактивным после кражи и не был восстановлен законным владельцем. Также на цену влияют курс доллара и ситуация на рынке: чем больше украденных аккаунтов выставлено на продажу, тем ниже может быть их стоимость.

Кроме того, в украденных учетных записях злоумышленников интересует цифровая валюта Telegram Stars (звезды), а также коллекционные виртуальные подарки, включая NFT. Они могут выводиться автоматически на подставные учетные записи, а затем, как правило, продаются.

Как отмечают злоумышленники в рекламных постах в своих каналах, доход от угнанного аккаунта включает цену самой учетной записи и стоимость звезд, по цене 1 рубль за штуку. Стоимость NFT-подарков может достигать десятков и сотен долларов.

Для создания фишинговых ресурсов для кражи аккаунтов злоумышленники используют веб-панели или Telegram-ботов, где генерируются фишинговые страницы различной тематики. Для угона учетных записей часто используются такие зарекомендовавшие себя уловки, как: денежные призы, предупреждение от службы безопасности, годовая премиум-подписка в подарок, голосования, доступ в приватный канал и так далее.

Кроме того, аналитики обнаружили автоматизированную комбо-схему, в которой похищенный аккаунт автоматически начинает распространять мошеннические ссылки. В этом случае мошенники маскируют фишинговые страницы под сервис для отправки резюме работодателю, в котором «необходимо авторизоваться через Telegram».

По словам экспертов, чаще всего фишинговые страницы, нацеленные на пользователей по всему миру, размещаются в доменах .shop, .ink, .wiki, .top и .work.