# Atak phishingowy w Telegramie za pomocą fałszywych głosowań: analiza techniczna
Kampanie phishingowe w Telegramie często udają głosowania online na uczestników konkursów, takich jak rysunki dziecięce. Użytkownik otrzymuje wiadomość z wezwaniem do wsparcia uczestnika i linkiem do strony. Przykład: przejście na stronę stylizowaną na konkurs, gdzie proponuje się kliknięcie przycisku „Przejdź do głosowania”.
Ta strona imituje legalny proces: wybór uczestnika z listy, po czym następuje przekierowanie na pośredni URL. Końcowy etap to phishingowa forma autoryzacji Telegrama, gdzie trzeba wpisać numer telefonu lub zeskanować kod QR.
Formularz wizualnie kopiuje interfejs Telegrama, w tym pola wprowadzania i przyciski. Po wpisaniu danych następuje przechwycenie poświadczeń, co pozwala napastnikom przejąć konto i wykorzystać je do dalszej wysyłki spamu.
Łańcuch techniczny phishingu
Atak opiera się na sekwencji przekierowań i skryptów:
- Inicjacja: Link prowadzi na stronę główną konkursu (np.
/rus-deti/5). - Zaangażowanie: Wybór uczestnika otwiera pośrednie przekierowanie (np.
/rus-deti/c0zoJML). - Phishingowa forma: Otwiera się fałszywa autoryzacja (parametryzowany URL z tokenami, np.
/rus-deti/H3uwg4h?swfix=3).
Skrypt JavaScript (długi hash w URL, np. /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) dynamicznie przetwarza wprowadzone dane:
- Obsługuje zdarzenia klawiatury i kliknięć.
- Maskuje formularz pod żywy interfejs.
- Wysyła dane na backendowe endpointy.
Dane ofiary są przekazywane na poddomeny:
venus.risunki-sveta.space/apiw1kws2.risunki-sveta.space/apiws
To umożliwia zbieranie numerów telefonów, kodów weryfikacyjnych i tokenów sesyjnych.
Wskaźniki kompromitacji (IOC)
Do wykrywania i blokowania używaj następujących wskaźników:
- Adresy IP serwera:
- 94.26.35.117
- 94.26.35.116
- 85.206.164.29
- Podejrzane domeny:
- risunki-sveta.space
- machine.sparkart-sun.shop
Te IOC pozwalają skonfigurować reguły w WAF, filtrach DNS lub systemach EDR. Monitorowanie ruchu na te adresy wykryje próby dostępu.
Metody ochrony dla programistów i administratorów
- Sprawdzaj URL przed kliknięciem: domena nie pasuje do web.telegram.org ani t.me.
- Używaj dwuskładnikowego uwierzytelniania (2FA) w Telegramie.
- Skonfiguruj skrypty klienckie do blokowania znanych domen phishingowych.
W środowisku korporacyjnym:
- Wdroż filtrowanie URL w proxy (np. przez Squid lub Zscaler).
- Monitoruj logi pod kątem przekierowań z parametrami hash.
- Szkol użytkowników w rozpoznawaniu phishingu po niezgodnościach w UI (czcionki, wcięcia).
Do automatyzacji: zintegruj IOC z systemami SIEM (ELK Stack, Splunk) z regułami opartymi na YARA lub Sigma.
Co ważne
- Atak opiera się na inżynierii społecznej: zaufanie do Telegrama i emocjonalny haczyk „pomóż dziecku”.
- JavaScript czyni formularz interaktywnym, zmniejszając podejrzenia; sprawdzaj zapytania Network w DevTools.
- Przejęcie konta prowadzi do reakcji łańcuchowej: wysyłka w imieniu ofiary.
- Podstawowa higiena (sprawdzenie domeny) zapobiega 90% przypadków.
- IOC są aktualne do natychmiastowej blokady; aktualizuj listy czarnych domen.
— Editorial Team
Brak komentarzy.