Telegram 假投票钓鱼攻击:技术剖析
Telegram 中的钓鱼活动常常伪装成儿童绘画等比赛参与者的在线投票。用户收到一条敦促支持参赛者的消息,并附带网站链接。例如:跳转到一个模仿比赛风格的页面,提示点击“进入投票”按钮。
此页面模仿合法流程:从列表中选择参赛者,随后重定向到中间 URL。最后阶段是一个钓鱼 Telegram 授权表单,需要输入手机号或扫描二维码。
表单在视觉上复制了 Telegram 界面,包括输入字段和按钮。输入数据后,凭证被拦截,攻击者即可劫持账户并用于进一步传播。
技术钓鱼链
攻击基于一系列重定向和脚本构建:
- 启动:链接指向主比赛页面(例如
/rus-deti/5)。 - 互动:选择参赛者触发中间重定向(例如
/rus-deti/c0zoJML)。 - 钓鱼表单:打开假授权页面(带令牌的参数化 URL,例如
/rus-deti/H3uwg4h?swfix=3)。
一个 JavaScript 脚本(URL 中的长哈希,例如 /f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js)动态处理输入:
- 处理键盘和点击事件。
- 将表单伪装成实时界面。
- 将数据发送到后端端点。
受害者数据传输到子域名:
venus.risunki-sveta.space/apiw1kws2.risunki-sveta.space/apiws
这使得收集手机号、验证码和会话令牌成为可能。
入侵指标 (IOC)
用于检测和阻断,可使用以下指标:
- 服务器 IP 地址:
- 94.26.35.117
- 94.26.35.116
- 85.206.164.29
- 可疑域名:
- risunki-sveta.space
- machine.sparkart-sun.shop
这些 IOC 可用于在 WAF、DNS 过滤器或 EDR 系统配置规则。监控到这些地址的流量将揭示访问尝试。
开发者和管理员的防护方法
- 点击前验证 URL:域名不匹配 web.telegram.org 或 t.me。
- 在 Telegram 中启用双因素认证 (2FA)。
- 配置客户端脚本阻挡已知钓鱼域名。
在企业环境中:
- 在代理中实施 URL 过滤(例如通过 Squid 或 Zscaler)。
- 监控带有哈希参数的重定向日志。
- 通过 UI 不一致(字体、间距)培训用户识别钓鱼。
自动化:使用 YARA 或 Sigma 规则将 IOC 集成到 SIEM 系统(ELK Stack、Splunk)。
关键要点
- 攻击依赖社会工程:对 Telegram 的信任和“帮助孩子”的情感钩子。
- JavaScript 使表单互动,降低怀疑;在 DevTools 中检查 Network 请求。
- 账户劫持引发连锁反应:从受害者名义传播。
- 基本安全实践(域名检查)可防止 90% 的案例。
- IOC 当前有效,可立即阻挡;保持阻挡列表更新。
— Editorial Team
暂无评论。