Когда пару лет назад я анализировал первые сигналы о кражах аккаунтов в Telegram, история выглядела как локальная статистика. Сейчас аферы украшены AR-масками, голосовыми дипфейками, поддельной верификацией чек-марк и трансграничной платёжной инфраструктурой. Для понимания карты угроз разберём ключевые виды обмана.
Самое распространённое направление — инвестиционные боты. Промо-каналы обещают ежедневный доход, демонстрируя скриншоты с чудесной доходностью. Статистика, которой я располагаю, показывает возврат средств ниже 4%, при том что средний чек жертвы равен 32 000 ₽. Разработчики таких ботов скрывают домен в сети Tor, а сам бот создаётся за две-три минуты благодаря открытым скриптам.
Второй блок схем — фишинговые страницы, маскирующиеся под веб-версию Telegram. Служебный домен te!egram-safety.org либо telegram.cloud перехватывает только одноразовую авторизацию и сразу выводит сессию на сервер злоумышленников. Там задействована тактика Evil-Proxy: промежуточный узел без ssl-pinning, перехват cookie mtproto и мгновенный transfer запуска push-уведомлений жертве, чтобы она не заметила одновременный вход.
Третий слой — social escrow. Злоумышленник предлагает выступить гарантом сделки, присылает QR-код с подписью «верификация личности». На самом деле камера запускает локальный http-сервер, где расположен javascript-сниффер для сессии desktop-клиента. Подобный трюк вызывает эмоциональное доверие, поэтому его эффективность измеряется коэффициентом click-through 72%.
Новая география фишинга
В прошлом году сообщения о таких инцидентах шли в основном из крупных городов России и Украины. Сейчас ими пестрит чат поддержки из Латинской Америки, Ближнего Востока, Центральной Азии. Расширение связано с двумя факторами: дешёвая реклама в локальных каналах и анонимная сим-карта вместо многоканальных шлюзов. Наблюдается феномен «массовой миграции скриптов», когда один и тот же шаблон авторизации адаптируется под испанский, фарси, суахили за один вечер.
Киберпанковская терминология подарила слово «sinkhole» — резервуар, куда стекают перехваченные токены. Один sinkhole обрабатывает около 12 000 сессий в день. Для фильтрации ценной аудитории используется scorched-list — динамический реестр недавних платежей. Кошельки с балансом менее 100 USDT сразу отбрасываются.
Параллельно всплыла техника «SIM-трофея» — захват аккаунта через временную eSIM, заказанную на имя нелегального экспедитора. После короткой сессии физический чип стирается, а право владения номером передаётся следующему участнику. Такая релейная цепь затрудняет корреляцию IP-логов и ломает классические методы атрибуции.
Текстиль доверия
Обман держится на психологическом переплетении. Злоумышленник вплетает в разговор якоря — знакомое имя, общий университет, редкую цитату из альма-матер. Приём носит название «textile anchoring» и воспроизводит уют пледа, который скрывает кукловода. Я наблюдал диалоги, где на отработку теплоты общения сдавали пять часов, прежде чем из кармана зрителя попросили деньги.
Финансовый шантаж выбирает иной темп. Здесь задействована «ухо дивергенции» — голос, созданный с помощью tacotron-синтеза, повторяет интонацию надзорного органа. Запрос звучит сухо и оцифрованно: «ваш аккаунт помечен как связанный с терроризмом, пройдите нулевую проверку». Паузы выверены с точностью 120 миллисекунд, вызывая реакцию коленного рефлекса.
Ещё одна метаморфоза — скам с NFT-дропами. Участнику обещают уникальный токен, но для «регистрации мастер-ключа» требуется подписать договор в боте. Там прячется метод «sign-in-with-telegram», где oauth-токен включает разрешение sendMessages. После запуска троян превращает аккаунт жертвы в ретранслятор спама.
Отдельного упоминания заслуживает «серый рынок подписок». Покупатель получает дешевый доступ к премиум-каналу через краденое платежное разрешение высшего уровня. Через неделю владелец карты оспаривает транзакцию, и администратор переносит гостей на новый канал, продолжая цикл. Средний круг оборота длится 43 часа.
Правила цифровой гигиены
Ниже собран свод контрмер, опробованных мною и группой реагирования CERT-R. Советы разбиты по уровню зрелости пользователя. Начнём с базовых: включаем двухфакторную авторизацию, задаём надёжный пароль для облачной сессии, включаем вход по биометрии на смартфоне и не храним резервный код рядом.
Средний уровень подразумевает сегментирование цифровой личности. Для личных переписок используется отдельный username, для публичной работы — корпоративный alias, привязанный к виртуальному номеру. Push-уведомления с конфиденциальными фразами отключаются, вместо них оставлен безопасный код «42».
Профессионалы включают пассивный honeypot. Создаётся клон-аккаунт под похожим именем, где активен мониторинг каждой входящей ссылки. Скрипт на python проверяет URL в базе URLhaus, а при совпаденииии отправляет сигнал в канал SOC. Методика обошлась в семь строк, а ложных срабатываний выйдет меньше пачки в месяц.
Если аккаунт уже угнан, помогает протокол triage-120. Первые двадцать минут: закрывается сессия через my.telegram.org, меняется пароль email, отправляется запрос abuse@telegram.org с описанием краденых данных. Час спустя подготавливается юридическое заявление с цифровой подписью. Через сто минут юристы часто возвращают доступ или блокируют атаку, снижая ущерб.
Любопытный инструмент — «контур нуль-голоса». Мы обкладываем важные сообщения нулевым пробелом U+200B. При подмене текста большинство парсеров уничтожает невидимый слой, и скрипт-страж мгновенно реагирует. Чтение «невидимых чернил» напоминает ультрафиолетовый свет на банкноте: тайное обретает свечение.
Телеграмм-мошенничество постоянно мутирует, но приёмы описаны выше сохраняют актуальность благодаря опоре на здравый скепсис, технику шифрования и дисциплину. Я продолжу наблюдать ландшафт, фиксировать новые мутации и делиться находками, чтобы цифровые коммуникации оставались безопасным коридором, а не лабиринтом минотавра.