Powrót do strony głównej

Phishing Telegram: analiza schematu z głosowaniami

Artykuł analizuje schemat phishingowy w Telegramie, maskujący się pod głosowanie w konkursie. Opisano łańcuch przekierowań, rolę JavaScript i IOC do blokowania. Przedstawiono środki ochrony dla deweloperów.

Jak działa phishing w Telegramie poprzez głosowania
Advertisement 728x90

# Atak phishingowy w Telegramie za pomocą fałszywych głosowań: analiza techniczna

Kampanie phishingowe w Telegramie często udają głosowania online na uczestników konkursów, takich jak rysunki dziecięce. Użytkownik otrzymuje wiadomość z wezwaniem do wsparcia uczestnika i linkiem do strony. Przykład: przejście na stronę stylizowaną na konkurs, gdzie proponuje się kliknięcie przycisku „Przejdź do głosowania”.

Ta strona imituje legalny proces: wybór uczestnika z listy, po czym następuje przekierowanie na pośredni URL. Końcowy etap to phishingowa forma autoryzacji Telegrama, gdzie trzeba wpisać numer telefonu lub zeskanować kod QR.

Formularz wizualnie kopiuje interfejs Telegrama, w tym pola wprowadzania i przyciski. Po wpisaniu danych następuje przechwycenie poświadczeń, co pozwala napastnikom przejąć konto i wykorzystać je do dalszej wysyłki spamu.

Google AdInline article slot

Łańcuch techniczny phishingu

Atak opiera się na sekwencji przekierowań i skryptów:

  • Inicjacja: Link prowadzi na stronę główną konkursu (np. /rus-deti/5).
  • Zaangażowanie: Wybór uczestnika otwiera pośrednie przekierowanie (np. /rus-deti/c0zoJML).
  • Phishingowa forma: Otwiera się fałszywa autoryzacja (parametryzowany URL z tokenami, np. /rus-deti/H3uwg4h?swfix=3).

Skrypt JavaScript (długi hash w URL, np. /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) dynamicznie przetwarza wprowadzone dane:

  • Obsługuje zdarzenia klawiatury i kliknięć.
  • Maskuje formularz pod żywy interfejs.
  • Wysyła dane na backendowe endpointy.

Dane ofiary są przekazywane na poddomeny:

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

To umożliwia zbieranie numerów telefonów, kodów weryfikacyjnych i tokenów sesyjnych.

Wskaźniki kompromitacji (IOC)

Do wykrywania i blokowania używaj następujących wskaźników:

  • Adresy IP serwera:

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • Podejrzane domeny:

- risunki-sveta.space

- machine.sparkart-sun.shop

Te IOC pozwalają skonfigurować reguły w WAF, filtrach DNS lub systemach EDR. Monitorowanie ruchu na te adresy wykryje próby dostępu.

Metody ochrony dla programistów i administratorów

  • Sprawdzaj URL przed kliknięciem: domena nie pasuje do web.telegram.org ani t.me.
  • Używaj dwuskładnikowego uwierzytelniania (2FA) w Telegramie.
  • Skonfiguruj skrypty klienckie do blokowania znanych domen phishingowych.

W środowisku korporacyjnym:

  • Wdroż filtrowanie URL w proxy (np. przez Squid lub Zscaler).
  • Monitoruj logi pod kątem przekierowań z parametrami hash.
  • Szkol użytkowników w rozpoznawaniu phishingu po niezgodnościach w UI (czcionki, wcięcia).

Do automatyzacji: zintegruj IOC z systemami SIEM (ELK Stack, Splunk) z regułami opartymi na YARA lub Sigma.

Co ważne

  • Atak opiera się na inżynierii społecznej: zaufanie do Telegrama i emocjonalny haczyk „pomóż dziecku”.
  • JavaScript czyni formularz interaktywnym, zmniejszając podejrzenia; sprawdzaj zapytania Network w DevTools.
  • Przejęcie konta prowadzi do reakcji łańcuchowej: wysyłka w imieniu ofiary.
  • Podstawowa higiena (sprawdzenie domeny) zapobiega 90% przypadków.
  • IOC są aktualne do natychmiastowej blokady; aktualizuj listy czarnych domen.

— Editorial Team

Advertisement 728x90

Czytaj dalej