Retour à l'accueil

Hameçonnage Telegram : Analyse du Schéma avec Sondages

L'article dissèque un schéma d'hameçonnage dans Telegram se faisant passer pour un sondage de concours. Décrit la chaîne de redirection, le rôle de JavaScript et les IOC pour le blocage. Mesures de protection pour les développeurs fournies.

Comment Fonctionne l'Hameçonnage dans Telegram via les Sondages
Advertisement 728x90

# # Attaque de phishing sur Telegram via un faux vote : Analyse technique

Les campagnes de phishing sur Telegram se déguisent souvent en votes en ligne pour des participants à des concours, comme des dessins d'enfants. L'utilisateur reçoit un message l'incitant à soutenir un participant accompagné d'un lien vers un site web. Exemple : passage à une page stylisée comme un concours invitant à cliquer sur le bouton « Passer au vote ».

Cette page imite un processus légitime : sélection d'un participant dans une liste, suivie d'une redirection vers une URL intermédiaire. L'étape finale est un formulaire d'autorisation Telegram falsifié nécessitant la saisie d'un numéro de téléphone ou le scan d'un code QR.

Le formulaire reproduit visuellement l'interface de Telegram, y compris les champs de saisie et les boutons. Après saisie des données, les identifiants sont interceptés, permettant aux attaquants de détourner le compte et de l'utiliser pour une diffusion ultérieure.

Google AdInline article slot

Chaîne de phishing technique

L'attaque repose sur une séquence de redirections et de scripts :

  • Déclenchement : Le lien mène à la page principale du concours (par ex., /rus-deti/5).
  • Engagement : La sélection d'un participant déclenche une redirection intermédiaire (par ex., /rus-deti/c0zoJML).
  • Formulaire de phishing : Une page d'autorisation falsifiée s'ouvre (URL paramétrée avec des jetons, par ex., /rus-deti/H3uwg4h?swfix=3).

Un script JavaScript (hash long dans l'URL, par ex., /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) gère dynamiquement les saisies :

  • Traite les événements clavier et clics.
  • Masque le formulaire comme une interface en direct.
  • Envoie les données vers des endpoints backend.

Les données de la victime sont transmises vers des sous-domaines :

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

Cela permet la collecte de numéros de téléphone, codes de confirmation et jetons de session.

Indicateurs de compromission (IOC)

Pour la détection et le blocage, utilisez les indicateurs suivants :

  • Adresses IP des serveurs :

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • Domaines suspects :

- risunki-sveta.space

- machine.sparkart-sun.shop

Ces IOC permettent de configurer des règles dans les WAF, filtres DNS ou systèmes EDR. La surveillance du trafic vers ces adresses révélera les tentatives d'accès.

Méthodes de protection pour les développeurs et administrateurs

  • Vérifiez les URL avant de cliquer : le domaine ne correspond pas à web.telegram.org ou t.me.
  • Activez l'authentification à deux facteurs (2FA) dans Telegram.
  • Configurez des scripts côté client pour bloquer les domaines de phishing connus.

Dans un environnement d'entreprise :

  • Implémentez un filtrage d'URL dans les proxies (par ex., via Squid ou Zscaler).
  • Surveillez les logs pour les redirections avec paramètres hash.
  • Formez les utilisateurs à reconnaître le phishing via les incohérences d'UI (polices, espacements).

Pour l'automatisation : intégrez les IOC dans les systèmes SIEM (ELK Stack, Splunk) en utilisant des règles YARA ou Sigma.

Points clés à retenir

  • L'attaque repose sur l'ingénierie sociale : confiance en Telegram et appel émotionnel au « soutien de l'enfant ».
  • JavaScript rend le formulaire interactif, réduisant les soupçons ; vérifiez les requêtes Network dans DevTools.
  • Le détournement de compte déclenche une réaction en chaîne : diffusion au nom de la victime.
  • L'hygiène de base (vérification de domaines) prévient 90 % des cas.
  • Les IOC sont à jour pour un blocage immédiat ; maintenez les listes de blocage actualisées.

— Editorial Team

Advertisement 728x90

Lire ensuite