Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, исследовала кражи аккаунтов пользователей Telegram. По данным аналитиков департамента защиты от цифровых рисков Digital Risk Protection, число угонов учетных записей в популярном мессенджере с помощью фишинговых ресурсов за второе полугодие 2024 года увеличилось на 25% по сравнению с аналогичным периодом 2023 года.
За июль–декабрь 2024 года только одна из русскоязычных групп злоумышленников похитила более 1 244 000 учетных записей пользователей из России и других стран, это на 25,5% больше по сравнению с результатами второго полугодия 2023 года аналогичной группировки, специализирующейся на угоне аккаунтов. На момент исследования специалисты F6 обнаружили не менее семи таких групп.
На теневом рынке средняя цена продажи аккаунтов, зарегистрированных на российские номера, составляет около 160 рублей — на 10 рублей больше, чем по итогам первого полугодия 2024 года. Стоимость украденной учетной записи на теневых ресурсах варьируется в зависимости от наличия премиум-подписки, административных прав или владения каналом, количества диалогов, а также продолжительности «отлёжки» — периода, в течение которого аккаунт оставался неактивным после кражи и не был восстановлен законным владельцем. Кроме того, на цену влияют курс доллара и ситуация на рынке: чем больше украденных аккаунтов выставлено на продажу, тем ниже может быть их стоимость.
В угнанных учетных записях злоумышленников в том числе интересуют цифровая валюта Telegram Stars (звёзды) и коллекционные виртуальные подарки, включая NFT. Они могут выводиться автоматически на подставные учетные записи, а затем, как правило, продаются. Как отмечают злоумышленники в рекламных постах в своих каналах, доход от угнанного аккаунта складывается из стоимости самой учетной записи и звезд по цене 1 рубль за штуку. Стоимость NFT-подарков может достигать десятков и сотен долларов.
Для создания фишинговых ресурсов злоумышленники используют веб-панели или Telegram-боты, в которых создаются фишинговые страницы различной тематики, в том числе зарекомендовавшие себя уловки: денежные призы, предупреждение от службы безопасности, годовая премиум-подписка в подарок, голосования, доступ в приватный канал и другие.
Кроме того, аналитики F6 Digital Risk Protection обнаружили автоматизированную комбо-схему, в которой похищенный аккаунт автоматически начинает распространять мошеннические ссылки. Легендой фишинговых страниц в этой схеме является составление резюме работодателю, для отправки которого «необходимо авторизоваться через Telegram».
Чаще всего фишинговые страницы, нацеленные на пользователей по всему миру, в январе-феврале 2025 года размещались в доменах .shop, .ink, .wiki, .top и .work.
«Украденные аккаунты в популярных мессенджерах продолжают оставаться востребованным товаром на теневом рынке. Они используются в мошеннических схемах, для кражи данных, а также как источники «звезд» и виртуальных подарков. Преступники всё чаще применяют автоматизированные методы, такие как фишинговые панели и шаблоны, превращая угон учетных записей в непрерывный конвейер атак. Чтобы защититься от таких угроз, пользователям и компаниям важно строго следовать правилам кибербезопасности и цифровой гигиены». – Станислав Гончаров, Руководитель департамента Digital Risk Protection компании F6
Рекомендации специалистов F6 по защите от угона аккаунта в мессенджерах:
Для защиты брендов от репутационных рисков и прямого ущерба, связанного с их незаконным использованием на поддельных сайтах, компаниям следует использовать автоматизированные решения, сочетающие анализ данных киберразведки и возможности машинного обучения. Так, платформа F6 Digital Risk Protection позволяет выявлять угрозы на ранних этапах их возникновения и обнаруживать мошеннические ресурсы ещё до того, как злоумышленники приведут туда трафик и нанесут репутационный или финансовый ущерб.
