返回首页

Telegram 钓鱼攻击:使用投票的方案分析

这篇文章剖析了 Telegram 中伪装成竞赛投票的钓鱼方案。描述了重定向链、JavaScript 的作用以及用于封锁的 IOC。为开发者提供了保护措施。

Telegram 中投票钓鱼如何运作
Advertisement 728x90

Telegram 假投票钓鱼攻击:技术剖析

Telegram 中的钓鱼活动常常伪装成儿童绘画等比赛参与者的在线投票。用户收到一条敦促支持参赛者的消息,并附带网站链接。例如:跳转到一个模仿比赛风格的页面,提示点击“进入投票”按钮。

此页面模仿合法流程:从列表中选择参赛者,随后重定向到中间 URL。最后阶段是一个钓鱼 Telegram 授权表单,需要输入手机号或扫描二维码。

表单在视觉上复制了 Telegram 界面,包括输入字段和按钮。输入数据后,凭证被拦截,攻击者即可劫持账户并用于进一步传播。

Google AdInline article slot

技术钓鱼链

攻击基于一系列重定向和脚本构建:

  • 启动:链接指向主比赛页面(例如 /rus-deti/5)。
  • 互动:选择参赛者触发中间重定向(例如 /rus-deti/c0zoJML)。
  • 钓鱼表单:打开假授权页面(带令牌的参数化 URL,例如 /rus-deti/H3uwg4h?swfix=3)。

一个 JavaScript 脚本(URL 中的长哈希,例如 /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js)动态处理输入:

  • 处理键盘和点击事件。
  • 将表单伪装成实时界面。
  • 将数据发送到后端端点。

受害者数据传输到子域名:

Google AdInline article slot
  • venus.risunki-sveta.space/apiw1
  • kws2.risunki-sveta.space/apiws

这使得收集手机号、验证码和会话令牌成为可能。

入侵指标 (IOC)

用于检测和阻断,可使用以下指标:

  • 服务器 IP 地址

- 94.26.35.117

Google AdInline article slot

- 94.26.35.116

- 85.206.164.29

  • 可疑域名

- risunki-sveta.space

- machine.sparkart-sun.shop

这些 IOC 可用于在 WAF、DNS 过滤器或 EDR 系统配置规则。监控到这些地址的流量将揭示访问尝试。

开发者和管理员的防护方法

  • 点击前验证 URL:域名不匹配 web.telegram.org 或 t.me。
  • 在 Telegram 中启用双因素认证 (2FA)。
  • 配置客户端脚本阻挡已知钓鱼域名。

在企业环境中:

  • 在代理中实施 URL 过滤(例如通过 Squid 或 Zscaler)。
  • 监控带有哈希参数的重定向日志。
  • 通过 UI 不一致(字体、间距)培训用户识别钓鱼。

自动化:使用 YARA 或 Sigma 规则将 IOC 集成到 SIEM 系统(ELK Stack、Splunk)。

关键要点

  • 攻击依赖社会工程:对 Telegram 的信任和“帮助孩子”的情感钩子。
  • JavaScript 使表单互动,降低怀疑;在 DevTools 中检查 Network 请求。
  • 账户劫持引发连锁反应:从受害者名义传播。
  • 基本安全实践(域名检查)可防止 90% 的案例。
  • IOC 当前有效,可立即阻挡;保持阻挡列表更新。

— Editorial Team

Advertisement 728x90

继续阅读