Меню Затваряне

Как хакерите крадат лични данни през Telegram

Обновена на 21.04.2023 от Questo

Telegram е един от най-популярните месинджъри в света. Потребителите го обожават заради възможността да се събират на големи групи, да споделят файлове и да говорят без цензура и като запазят анонимност (колко анонимно е друг въпрос).

Но Telegram е и предпочитана платформа за разпространение на зловреден софтуер и кражба на лични данни.

Злонамерените лица използват ботове, за да събират лични данни за Telegram абонатите. А те не са никак малко – платформата твърди, че към средата на 2022 г. разполага с над 700 млн. потребители.

Тъмната страна на ботовете

Ако използвате кой да е месинджър, вероятно сте разговаряли с бот – онези скриптове, които отговарят на въпросите ви или ви дават информация, от която бихте се интересували.

В Telegram има ботове за почти всичко. Някои превеждат думите ви на чужд език, докато ги пишете в Telegram канала, където е инсталиран бота.

Други ви позволяват да конвертирате файл от един в друг формат като просто го качите в канала.

Има ботове, които ви намират евтини самолетни билети по зададените от вас критерии, които разказват шеги на определена тема; като цяло всичко, за което можете да се сетите.

Но Telegram ботовете могат да се използват и за събиране на лични данни без знанието на потребителите.

Да видим как.

Социално инженерство

Най-тривиалният пример е социалното инженерството. Ботът може да бъде програмиран да задава въпроси, с които събира ценна информация за потребителите си. За целта злонамереното лице първо създава канал с подходяща тематика, а потребителите сами предоставят желаната информация на бота. Няколко възможни сценария:

  • канал за киберсигурност, в който ботът предлага на потребителя да въведе паролата си, за да тества сигурността й;
  • канал за астрология, в който ботът пита потребителите за име, дата и място на раждане (тази информация в много случаи е достатъчна, за да се генерират ЕГН-та);
  • канал за технологии, в който ботът събира телефонни номера и имейли, за да провери дали не фигурират в някоя хакната база данни, публикувана в интернет;

Това са съвсем прости примери, в които бот може да се създаде без много усилия с помощта на Botfather (бот за създаване на ботове) и като се свърже с база данни, където се записват отговорите на потребителите.

Фишинг

Ботовете могат да бъдат конфигурирани така, че да генерират фишинг страници. От такива ботове се възползват кандидат-измамниците, които могат да създадат фишинг кампания направо от мобилния си телефон.

За да илюстрираме по-добре метода, въвеждаме следните въображаеми герои:

  • злонамерено лице, което е създало фишинг бот
  • кандидат-измамник, който иска да ползва бота

За да използва бота, кандидатът получава инструкции да се присъедини към Telegram канала на злонамереното лице.

След като се присъедини, кандидатът получава инструкции да създаде собствен бот с BotFather. Когато новият бот е готов, кандидатът трябва да копира генерирания токен и да го предостави на първия бот, който пък генерира линкове към фишинг страници.

След като разполага с линковете, кандидатът сам ги изпраща на жертвите си. Когато жертва кликне на линк и въведе потребителско име и парола, кандидатът получава тази информация направо в Telegram.

С Telegram ботове могат да се изпълняват и по-сложни манипулации като например да генерират разговори и да крадат банкови данни и кодове за двуфакторна автентикация.

Публично известен е поне един случай за международна мрежа от компютърни престъпници, която е атакувала жертви в сайтове за обяви включително и в България.

Злонамерените лица са използвали ботове в Telegram и WhatsApp, за да водят разговори с жертвите си и да генерират фишинг страници. Схемата действа по следния начин (към обясненията прилагам и снимки от опит за фишинг, който използва сходни похвати, макар да не мога да гарантирам, че става дума за една и съща престъпна група):

1. Злонамереното лице се свързва с жертвата и прехвърля разговора в месинджър.

2 Ботът генерира фишинг страница – обикновено имитираща сайта на спедиторска компания – където жертвата трябва да въведе данните на банковата си карта.

Приложените снимки са от реален опит за фишинг, споделен от потребител във Facebook. Начинът на изпълнение на атаката много наподобява методите на въпросната мрежа от измамници, които досега са източили по този начин над 30 млн. евро според руската компания Group-IB.

Ботовете се използват и за събиране на банкови данни. След като злонамереното лице въведе телефонен номер на жертвата, ботът генерира автоматизирано обаждане, чрез което събира ценна информация като OTP кодове, CVV кодове и т.н.

И скамърите заработват по някой лев покрай големия интерес към Telegram ботовете. Собственикът на този сайт твърди, че продава Telegram бот, с който в рамките на няколко минути може да се открадне еднократен код за достъп (OTP). Най-вероятно сайтът е фалшив и създаден или да събира пари от наивници, или да насочва полицията към потенциални злосторници. Но пък е успешно опитимизиран да излиза на първо място в Google при търсене на BlоodOTPBot – един от популярните зловредни Telegram ботове.

Кражба на запеметени данни от браузъра

Може би сте свикнали да запаметявате потребителски имена, пароли, номера на банкови карти и т.н. в браузъра си. Удобно е, защото след това може да използвате тази информация с един клик, вместо да я въвеждате всеки път на клавиатурата.

Удобно, но не много безопасно. Има цяла категория зловреден код, наречен info stealer, който събира запаметените в браузъра данни.

Традиционно тези зловредени програми работят по следния начин: събират данните от браузъра и ги качват на сървър, който е под контрола на злонамерено лице (т.нар. Control&Command Server).

Но някои от тези програми буквално използват Telegram като C2 сървър, през който открадната информацията достига до злонамереното лице.

Пример за такъв код е XFiles. Според техническия анализ на Cyberint кодът се инсталира на компютъра на жертвата при отварянето на заразен DOCX файл. След като зловредната програма събере данните, тя ги архивира и ги изпраща през Telegram. Операторът на кампанията има възможност да управлява целия процес също през Telegram.

XFiles е един от популярните инфо стийлъри, които използват инфраструктурата на Telegram. Той се радва на завиден интерес в един от рускоговорящите хакерски форуми.

Реклама на XFiles Reborn в един от руските хакерски форуми

През април 2023 г. Европол обяви, че е свалила един от най-големите пазари за крадени данни Genesis Market. През сайта са се продавали данни за достъп до акаунти за Facebook, Netflix, Google, електронно банкиране. Тези данни са били събрани от интернет браузърите на жертвите именно със зловредни програми като XFiles Reborn.

Не сваляйте файлове от Telegram

Telegram се използва не само като канал за пренос на откраднати данни, но и като хранилище за зловредни файлове. Вместо да изпращат опасните файлове по имейл, хакерите ги качват в Telegram и ги промотират като полезни документи, приложения, кракове и т.н.

С други думи: внимавайте какви файлове сваляте от Telegram.

ИМАШ ПОЩА!

Веднъж месечно ще изпращаме на имейла ти съвети и истории, които ще ти помогнат да предпазиш данните си.

Подобни статии

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *