Мошенники придумали, как использовать для кражи Telegram-каналов одну из функций мессенджера, которая появилась после его масштабного обновления 1 июля. Об этом «Известиям» рассказали эксперты по кибербезопасности. Речь идет о возможности предложить администратору канала платную публикацию. Злоумышленники размещают в таких обращениях фишинговые ссылки. Эксперты полагают, что этот вид обмана в основном будет направлен на владельцев каналов в сегменте до 10 тыс. подписчиков.
Новые сценарии обмана пользователей Telegram
С 1 июня в Telegram появилась новая функция — «предложенные публикации». И мошенники сразу начали пользоваться ею для того, чтобы отправлять фишинговые и вредоносные ссылки владельцам Telegram-каналов, маскируя их под интересный контент. Основная уловка — предложить администратору щедрый гонорар, чтобы он стал подробно разбираться с присланным предложением, изучать детали по ссылке, которая ведет на фишинговый ресурс, рассказал «Известиям» независимый эксперт по кибербезопасности Анатолий Долженков.
— Если жертва перейдет по такой ссылке и введет код авторизации или установит вредоносное ПО, злоумышленник может перехватить управление каналом. В дальнейшем он сможет требовать выкуп за возврат доступа или использовать канал для обмана подписчиков, — рассказал руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин.
Механика обмана очень проста, подтвердил и директор департамента киберрасследований T.Hunter Игорь Бедеров.
— Преступники заранее создают фейковые каналы-приманки с репутацией новостных порталов или аналитических ресурсов. Далее в «предложку» целевых каналов отправляются посты с вредоносными ссылками. При переходе по ним администратора перенаправляют на фишинговый сайт, имитирующий интерфейс Telegram, — объяснил он.
По словам Бедерова, ввод логина и кода из СМС передает злоумышленникам доступ к аккаунту. Для IT-админов используются стилеры или файлы с макровирусами (форматы .doc, .xls), которые внедряют вредоносное ПО при открытии.
Уже известно, что одним из первых от такого метода пострадал пользовательский канал «Лига бустеров», который был удален злоумышленниками после использования схемы со ставками на киберспорт. В настоящее время администрация канала работает с поддержкой Telegram в расчете на восстановление профиля.
Блогер Денис Подемиров в своих соцсетях сообщил об аналогичном случае «угона». Он обратился в поддержку мессенджера и пока не получил никакого ответа.
Специалисты отмечают, что процедура возвращения контроля над удаленным или украденным каналом может занимать от нескольких дней до нескольких месяцев и не всегда завершается успешно.
Массовый характер проблемы
В июне зафиксирован рост регистраций потенциально фишинговых доменов, включающих наименования telegram, tg и иные на 40%. Это говорит об актуальности темы, сообщил Игорь Бедеров.
— Обман с предложенными постами стал новым трендом. Он нацелен в первую очередь на каналы в сегменте до 10 тыс. подписчиков, в которых подключены платежные инструменты. Считается, что там администраторы менее подкованы в теме кибербезопасности. Обмануть владельцев крупных каналов гораздо сложнее. Небольших ресурсов очень много, и действия злоумышленников направлены в первую очередь на них. Из-за схемы, которую сейчас начали использовать мошенники, сотни администраторов рискуют потерять доступ к своим аккаунтам, — резюмировал эксперт.
Функция предложения постов с точки зрения атаки на владельцев и админов Telegram-канала — одна из новых технических возможностей, но вставить фишинговую ссылку или ссылку на вредоносный ресурс можно и в личное сообщение, объяснил ведущий аналитик департамента защиты от цифровых рисков компании F6 Евгений Егоров.
Мошенники также используют СМС для подтверждения доступа к администрированию канала, вводя жертв в заблуждение, сказал он.
— Методы мошенников постоянно эволюционируют, но и технологии защиты тоже развиваются. По итогам полугодия в среднем в месяц мы блокировали 144 млн СМС, что в два раза выше среднемесячных показателей 2024-го. Такие сообщения — это не только спам-рассылки, но и мошеннические уловки, которые являются лишь частью многоуровневых приемов, — прокомментировал директор департамента по предотвращению мошенничества и потерь доходов «МегаФона» Сергей Хренов.
Специалисты BI.ZONE Brand Protection также отмечают новый сценарий по «угону» учетных записей пользователей. Мошенники создают поддельные страницы, замаскированные под платформу Fragment.com — единственный официальный сервис от Telegram для покупки и продажи логинов и номеров телефона. Баланс для платных предложений также пополняется через него. Вводя код подтверждения при авторизации на таком сайте, жертва передает доступ к своему аккаунту. Злоумышленники же получают контроль над ним со всеми конфиденциальными данными.
«Известия» ранее писали, что, по данным компании F6, только за первые три месяца 2025 года и только одна из русскоязычных групп злоумышленников похитила более 887 тыс. аккаунтов пользователей Telegram из России и других стран. При том что всего было обнаружено не менее шести подобных групп, действующих против пользователей Telegram.
А за июнь специалисты только BI.ZONE зафиксировали почти 4 тыс. ресурсов, которые ориентированы на «угон» профилей пользователей. Аудитория мессенджера регулярно растет, что дает злоумышленникам возможность охватить множество потенциальных жертв. Папка «Избранное» часто становится источником ценной информации, такой как пароли, реквизиты банковских карт и фотографии документов. Впоследствии эти данные используются для мошеннических действий, считает Дмитрий Кирюшкин из BI.ZONE Brand Protection.
Чтобы не попасться на уловки злоумышленников, рекомендуется не переходить по ссылкам из сомнительных сообщений, особенно если их прислали незнакомые. В целом важно критически относиться к любым предложениям в Сети, не стоит вводить на подозрительных ресурсах конфиденциальные данные, в том числе учетные сведения от аккаунтов в мессенджере. Важно использовать надежное защитное решение, которое вовремя распознает фишинговый или скам-ресурс, резюмировала старший контент-аналитик «Лаборатории Касперского» Ольга Алтухова.