Украсть всё: почему Telegram стал главной площадкой для мошенников

Telegram стал главной площадкой для фишинговых атак и других способов мошенничества в России. По данным Angara Security, только за прошлый год в нем стали на 39% чаще пытаться купить чужие аккаунты и на 29% — продавать слитые базы данных. «Известия» выяснили, почему интернет-преступность перешла в Telegram, как распознать риски в мессенджере и защитить себя.

Главная площадка

Telegram стал главной площадкой для интернет-мошенничества в России. К такому выводу пришли эксперты Angara Security, проанализировав киберинциденты за последний год.

Как рассказали «Известиям» в компании, в 2023 году мошенники стали чаще использовать различные схемы в мессенджере. Так, на 39% выросло число запросов на покупку аккаунтов, которые использовались для атак от имени людей, имеющих авторитет для собеседника. При этом преступники могли подделывать фамилию, имя и ставить на аватар фото нужного человека.

— Злоумышленники рассылали сообщения с просьбой срочно перевести деньги, предупреждали о звонке чиновника или просили предоставить какую-то информацию. При этом они работали по отдельным отраслям: государственным, IT-компаниям, предприятиям ВПК, ритейлу. Очевидно, что для проработки тактики использовались доступные в Сети отраслевые базы данных, — отмечает старший эксперт по защите бренда Angara Security Виктория Варламова.

Фото: Global Look Press/Thomas Trutschel/photothek via w

По подсчетам аналитиков, за год спрос на базы данных, содержащие персональные данные (e-mail и телефоны) пользователей банковских и медицинских услуг, паспортные данные граждан в Telegram, вырос на 19%. Ряд запросов содержал требования к более глубокой детализации, например городу проживания, информации о заболеваниях, числу проживающих в одном доме или квартире.

При этом объем предложения баз данных тоже вырос — на 29%, что коррелирует с цифрами Роскомнадзора. В 2023 году ведомство зафиксировало 168 утечек персональных данных граждан РФ, которые содержат 300 млн записей.

— Если в 2022 году публичные утечки и похищенные базы данных распространялись на специализированных теневых форумах, то в 2023-м одной из самых востребованных площадок стал именно Telegram. Скорее всего, эта тенденция сохранится и в 2024 году, — подчеркивает Варламова.

Дар от бага: количество мошенничеств с Telegram Premium выросло вдвое

Почему так произошло и при чем тут подарки на Новый год

Способы обмана

По данным Angara Security, в 2023 году от кражи персональных данных больше всего пострадали операторы связи, медицинские учреждения, госсектор. В ряде случаев утекали данные сотрудников и партнеров компаний, но чаще всего кибератаки были нацелены на хищение сведений клиентов.

— Чаще всего мошенники старались заработать, например отправить фишинговую ссылку или уговорить жертву на перевод денег. На втором месте были сообщения компаниям о том, что у них произошла утечка данных, — это может стать и трендом 2024 года, если в России примут законопроект об оборотных штрафах. Цель таких сообщений — снизить доверие к компании. На самом деле утечки может даже не быть, преступники намеренно нагнетают ситуацию, — говорит Виктория Варламова.

Не своим голосом: мошенники с помощью дипфейков притворяются родственниками жертв

По каким признакам можно распознать обман

На третьем месте, по ее словам, оказались сообщения, которые могут принести репутационные потери после общения с пранкерами и другими преступниками, использующими технологии дипфейк, подмену голоса для атак на сотрудников компаний.

— Бороться с этим довольно сложно. Техническая поддержка Telegram не всегда быстро блокирует подозрительных пользователей, поэтому осторожность надо проявлять самим пользователям: аккуратно начинать новые диалоги, — отмечает собеседница.

Больше охват — больше жертв

Главная причина роста преступности в Telegram — в том, что сейчас это самый популярный мессенджер у россиян, считают эксперты «Известий». Его охват — около 80% мобильных пользователей, говорит руководитель отдела аналитических систем и отчетности IT-интегратора «Первый бит» Петр Иванов.

Фото: ИЗВЕСТИЯ/Анна Селина

— Это объясняется разными причинами: позиции сдал WhatsApp, кроме того, сказалась специфика Telegram с его возможностью создать различные каналы. Многие сегодня заходят в Telegram, чтобы прочитать новости, или используют мессенджер в корпоративной среде. То есть аудитория огромна, и у мошенников появляется больше шансов кого-то обмануть, — добавляет ведущий эксперт отдела разработки и тестирования компании «Код безопасности» Александр Самсонов.

По мнению эксперта, точно подсчитать, насколько высока активность мошенников, невозможно — просто потому, что в статистику попадает не вся информация. Однако в целом количество схем и атак через Telegram выросло в несколько раз.

Несинхронный перевод: Сбер начал блокировать операции жертв мошенников

Банк тестирует новый алгоритм взаимодействия с уязвимыми категориями клиентов

Руководитель российского исследовательского центра «Лаборатории Касперского» Дмитрий Галов делит использование мессенджера преступниками на два сценария: использование Telegram для фишинговых, скам-атак, распространения вредоносного ПО (одна из новых схем — шпионское ПО для Android CanesSpy, которое загружали в каналы) и телефонного мошенничества. Второй вариант — использование в качестве теневой площадки для общения или предложения товаров и услуг.

— К примеру, в прошлом году в каналах предлагали фиш-киты — заготовки для поддельных страниц, напоминающие ресурсы международных и региональных брендов, — рассказывает он.

Фото: ИЗВЕСТИЯ/Павел Волков

Слитые базы, которые тоже часто продают в Telegram, обычно представляют собой данные банков, страховых и маркетинговых компаний, застройщиков и служб доставки. По закону их должны защищать владельцы информационных систем, но это получается не всегда.

В случае если человек найдет там себя, удалить данные, скорее всего, уже не получится, отмечает Петр Иванов. Однако лучше проверить, нет ли там слитых паролей, особенно от почты или клиент-банка. И в случае необходимости поменять их.

Защита аккаунта

Для того чтобы защитить аккаунт, эксперты «Известий» призывают не открывать там подозрительные ссылки и не скачивать файлы, даже если они пришли от знакомых, ведь человека могли взломать. Насторожить могут нетипичные просьбы и обороты — в этом случае лучше связаться с человеком по другому каналу, советует эксперт «Кода безопасности» Александр Самсонов.

— Также сберечь себя и аккаунт помогут стандартные советы: не оставлять данные учетной записи ни на каких ресурсах, включить двухфакторную аутентификацию. Кроме того, можно сделать настройки приватности более жесткими, например запретить получать сообщения и звонки с незнакомых номеров, — отмечает он.

Фото: ИЗВЕСТИЯ/Эдуард Корниенко

В свою очередь, Дмитрий Галов советует использовать на смартфоне надежное защитное решение — оно предупредит, если пользователь попытается перейти по фишинговой ссылке. И не скачивать программы, которые распространяют в мессенджере, — для этого лучше использовать официальные магазины приложений.

В случае подозрения, что аккаунт мог быть скомпрометирован, эксперты рекомендуют сразу принять меры по восстановлению контроля: завершить все активные сеансы, по возможности изменить или сбросить облачный пароль, написать в службу поддержки. В некоторых случаях профиль и вовсе лучше удалить: это приведет к потере данных, зато мошенники воспользоваться им уже не смогут.

Защита компаний

Что касается защиты компаний, то, по мнению экспертов Angara Security, бороться с мошенниками в Telegram помогут регулярные OSINT-исследования. С их помощью легко оценить, какие данные о сотрудниках и партнерах можно собирать в открытых источниках, и своевременно закрывать доступ или корректировать упоминания.

— Например, злоумышленники могут использовать базы данных массовых сервисов сфере подбора персонала, рекламы, службы доставки, корпоративных библиотек и программ лояльности, цифровых платформ медицинских услуг в рамках ДМС, базы данных организаторов отраслевых мероприятий. Риски с точки зрения парсинга данных также представляют профессиональные сообщества, например Habr, профильные группы в социальных сетях и Telegram-чаты, — говорит Виктория Варламова.

Фото: ИЗВЕСТИЯ/Сергей Лантюхов

Для авторизации на этих ресурсах зачастую нужно указывать корпоративный e-mail, имя, фамилию и должность. А в случае утечки такого типа данных преступники получают доступ к массиву информации, который далее можно обогащать и использовать для фишинговых атак, в том числе от лица топ-менеджмента.

— Перевод коммуникаций в официальные каналы — электронную почту или корпоративный мессенджер — может снизить вероятность фишинговой атаки, но для этого нужно обучить сотрудников основам киберграмотности и периодически проводить проверки, моделируя реальные ситуации, — заключает Варламова.