Zpět na domů

Phishing Telegram: rozbor schématu s hlasováním

Článek rozebírá phishingové schéma v Telegramu, které se maskuje jako hlasování v soutěži. Je popsán řetězec přesměrování, role JavaScriptu a IOC pro blokování. Jsou uvedena opatření ochrany pro vývojáře.

Jak funguje phishing v Telegramu prostřednictvím hlasování
Advertisement 728x90

Phishingový útok v Telegramu přes falešná hlasování: technický rozbor

Phishingové kampaně v Telegramu se často maskují jako online hlasování za účastníky soutěží, jako jsou dětské kresby. Uživatel obdrží zprávu s výzvou podpořit účastníka a odkazem na webovou stránku. Příklad: přechod na stránku stylizovanou pod soutěž, kde je nabízeno stisknout tlačítko „Přejít k hlasování“.

Tato stránka imituje legitimní proces: výběr účastníka ze seznamu, po čemž následuje přesměrování na mezilehlý URL. Finální etapa – phishingový formulář autorizace Telegramu, kde je nutné zadat číslo telefonu nebo naskenovat QR-kód.

Formulář vizuálně kopíruje rozhraní Telegramu, včetně vstupních prvků a tlačítek. Po zadání údajů dojde k zachycení přihlašovacích údajů, což umožní útočníkům zmocnit se účtu a použít ho k dalšímu rozesílání.

Google AdInline article slot

Technický řetězec phishingu

Útok je postaven na posloupnosti přesměrování a skriptů:

  • Iniciace: Odkaz vede na hlavní stránku soutěže (např. /rus-deti/5).
  • Zapojení: Výběr účastníka otevře mezilehlé přesměrování (např. /rus-deti/c0zoJML).
  • Phishingový formulář: Otevře se falešná autorizace (parametrizovaný URL s tokeny, např. /rus-deti/H3uwg4h?swfix=3).

JavaScript-skript (dlouhý hash v URL, např. /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) dynamicky zpracovává vstup:

  • Zpracovává události klávesnice a kliků.
  • Maskuje formulář jako živé rozhraní.
  • Odesílá data na backendové endpointy.

Data oběti se přenáší na subdomény:

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

To zajišťuje sběr čísel telefonů, kódů potvrzení a sesijních tokenů.

Indikátory kompromitace (IOC)

Pro detekci a blokování použijte následující indikátory:

  • IP adresy serveru:

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • Podezřelé domény:

- risunki-sveta.space

- machine.sparkart-sun.shop

Tyto IOC umožňují nastavit pravidla v WAF, DNS filtrech nebo EDR systémech. Monitorování provozu na tyto adresy odhalí pokusy o přístup.

Metody ochrany pro vývojáře a administrátory

  • Zkontrolujte URL před přechodem: doména neodpovídá web.telegram.org nebo t.me.
  • Používejte dvoufázovou autentizaci (2FA) v Telegramu.
  • Nastavte klientské skripty pro blokování známých phishingových domén.

V korporátním prostředí:

  • Implementujte filtrování URL v proxy (např. přes Squid nebo Zscaler).
  • Monitorujte logy na přesměrování s parametry hashů.
  • Školte uživatele v rozpoznávání phishingu podle nesrovnalostí v UI (písma, odsazení).

Pro automatizaci: integrujte IOC do SIEM systémů (ELK Stack, Splunk) s pravidly na bázi YARA nebo Sigma.

Co je důležité

  • Útok spoléhá na sociální inženýrství: důvěra v Telegram a emocionální háček „pomoz dítěti“.
  • JavaScript činí formulář interaktivním, snižuje podezření; kontrolujte Network požadavky v DevTools.
  • Zmocnění se účtu vede k řetězové reakci: rozesílání jménem oběti.
  • Základní hygiena (kontrola domény) zabrání 90 % případů.
  • IOC jsou aktuální pro okamžité blokování; aktualizujte seznamy černých domén.

— Editorial Team

Advertisement 728x90

Číst dál