Zurück zur Startseite

Telegram Phishing: Analyse des Schemas mit Umfragen

Der Artikel zerlegt ein Phishing-Schema in Telegram, das als Wettbewerbsumfrage getarnt ist. Beschreibt die Redirect-Kette, die Rolle von JavaScript und IOC zum Blockieren. Schutzmaßnahmen für Entwickler werden bereitgestellt.

So funktioniert Phishing in Telegram über Umfragen
Advertisement 728x90

## Phishing-Angriff in Telegram über gefälschte Abstimmungen: Technische Analyse

Phishing-Kampagnen in Telegram tarnen sich oft als Online-Abstimmungen für Wettbewerbsteilnehmer, etwa Kinderzeichnungen. Der Nutzer erhält eine Nachricht, die ihn drängt, einen Teilnehmer zu unterstützen, inklusive eines Links zu einer Website. Beispiel: Übergang zu einer wettbewerbsoptimierten Seite, die zum Klicken auf den Button „Zum Abstimmen fortfahren“ auffordert.

Diese Seite imitiert einen legitimen Prozess: Auswahl eines Teilnehmers aus einer Liste, gefolgt von einer Weiterleitung zu einer Zwischenseite. Der finale Schritt ist ein Phishing-Formular für die Telegram-Authentifizierung, das die Eingabe einer Telefonnummer oder das Scannen eines QR-Codes verlangt.

Das Formular kopiert visuell die Telegram-Oberfläche inklusive Eingabefeldern und Buttons. Nach der Dateneingabe werden die Zugangsdaten abgefangen, sodass Angreifer das Konto übernehmen und es für weitere Verbreitung nutzen können.

Google AdInline article slot

Technische Phishing-Kette

Der Angriff basiert auf einer Kette von Weiterleitungen und Skripten:

  • Auslösung: Der Link führt zur Hauptwettbewerbsseite (z. B. /rus-deti/5).
  • Interaktion: Die Auswahl eines Teilnehmers löst eine Zwangsweiterleitung aus (z. B. /rus-deti/c0zoJML).
  • Phishing-Formular: Eine gefälschte Autorisierungsseite öffnet sich (parametrisierte URL mit Tokens, z. B. /rus-deti/H3uwg4h?swfix=3).

Ein JavaScript-Skript (langer Hash in der URL, z. B. /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) verarbeitet dynamisch die Eingaben:

  • Behandelt Tastatur- und Klick-Events.
  • Tarnt das Formular als lebendige Oberfläche.
  • Sendet Daten an Backend-Endpunkte.

Opferdaten werden an Subdomains übermittelt:

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

Dadurch können Telefonnummern, Bestätigungscodes und Session-Tokens gesammelt werden.

Indikatoren für Kompromittierung (IoC)

Zur Erkennung und Blockierung nutzen Sie folgende Indikatoren:

  • Server-IP-Adressen:

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • Verdächtige Domains:

- risunki-sveta.space

- machine.sparkart-sun.shop

Diese IoCs ermöglichen die Konfiguration von Regeln in WAF, DNS-Filtern oder EDR-Systemen. Das Überwachen des Traffics zu diesen Adressen deckt Zugriffsversuche auf.

Schutzmaßnahmen für Entwickler und Administratoren

  • Überprüfen Sie URLs vor dem Klicken: Die Domain stimmt nicht mit web.telegram.org oder t.me überein.
  • Aktivieren Sie Zwei-Faktor-Authentifizierung (2FA) in Telegram.
  • Konfigurieren Sie Client-seitige Skripte zum Blocken bekannter Phishing-Domains.

In einem Unternehmensumfeld:

  • Führen Sie URL-Filterung in Proxies ein (z. B. via Squid oder Zscaler).
  • Überwachen Sie Logs auf Weiterleitungen mit Hash-Parametern.
  • Schulen Sie Nutzer, Phishing anhand von UI-Inkonsistenzen (Schriften, Abstände) zu erkennen.

Zur Automatisierung: Integrieren Sie IoCs in SIEM-Systeme (ELK Stack, Splunk) mit YARA- oder Sigma-Regeln.

Wichtige Erkenntnisse

  • Der Angriff basiert auf Social Engineering: Vertrauen in Telegram und der emotionale Appell „Hilf dem Kind“.
  • JavaScript macht das Formular interaktiv und mindert Verdacht; prüfen Sie Network-Anfragen in DevTools.
  • Kontenübernahme löst eine Kettenreaktion aus: Verbreitung vom Namen des Opfers.
  • Grundlegende Hygiene (Domain-Checks) verhindert 90 % der Fälle.
  • IoCs sind aktuell für sofortige Blockierung; halten Sie Blocklisten auf dem neuesten Stand.

— Editorial Team

Advertisement 728x90

Weiterlesen