vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💎
Вашему вниманию представлены 2 сообщения:
Сообщение 1
Картинка 1
Сообщение 2
Картинка 2
С виду они абсолютно идентичны, но дело в том, что на картинке 1 обычная ссылка на стартовую страницу Яндекс браузера, а на картинке 2 ссылка, ведущая на другой сайт, возможно, вредоносный. Как же так получается и что с этим делать, разбираю в статье ниже.
Когда речь идет о вредоносных сайтах (в данном контексте имеются ввиду сайты, с помощью которых мошенники или выуживают учетные данные от личных кабинетов, например, Госуслуг, или доставляют вредоносные программы) всегда встает вопрос привлечения на них жертв: кто-то по старинке использует почту, а кто-то перешел на более современные способы – мессенджеры.
Не стал исключением и Telegram, количество пользователей которого, по разным оценкам, насчитывает от 800 млн до 1 млрд человек в месяц по всему миру. С недавнего времени стали популярными фейковые сообщения в Telegram о подарке премиум-аккаунта.
Пример такого сообщения:
Чтобы понимать, от чего защищаться, нужно понимать, как это работает. Поэтому я постараюсь погрузить вас в разбор одного из таких фишинговых сообщений и расскажу механизм его создания и маскирования под легитимное сообщение.
В самом начале у меня была идея написать статью лишь о том, что можно в одну ссылку «подложить» другую (штатный функционал Telegram), но впоследствии я открыл «ящик Пандоры» невиданных доныне масштабов.
Для примера я разберу следующий случай: под видом ссылки на Яндекс можно подложить ссылку на (скриншот 1).
Скриншот 1
С первого взгляда с сообщением все в порядке – вы видите ссылку на Яндекс, вполне себе официальный сайт, и вас ничего не должно смущать, кроме момента перехода по этой ссылке. При переходе на внешний ресурс Telegram обычно указывает сам внешний ресурс и спрашивает, точно ли вы хотите перейти на него? Но будем честны, кто их читает, когда на первом этапе, визуальном, ничто не предвещает беды.
На этом статья могла бы закончиться, но дело вот в чем: когда я добавил ссылку на Яндекс, внизу в плашке быстрого перехода подтянулся Яндекс, как и должен был (скриншот 2).
Скриншот 2
Далее я, не подменяя ссылки, отправил сообщение получателю, и плашка Яндекса сохранилась (скриншот 3).
Скриншот 3
Уже отправленное сообщение я редактирую и «вшиваю» в ссылку ссылку : ПКМ на сообщение → Edit (скриншот 4).
Скриншот 4
Далее я выделяю текст ссылки и выбираю следующую опцию как на скриншоте ниже (скриншот 5).
Скриншот 5
Добавляю другую ссылку (скриншот 6).
Скриншот 6
Сохраняю изменения и вуаля (скриншот 7)!
Скриншот 7
После того, как я подменил реальную ссылку на Яндекс другой, , плашка быстрого перехода на Яндекс осталась! Просто посмотрите на это сообщение и задайтесь вопросом – смущает ли вас что-то в нем визуально?
Для визуального сравнения ниже указаны 2 варианта сообщения:
Сообщение с оригинальной ссылкой
Сообщение со сторонней ссылкой
В данном случае Яндекс и взяты для примера, но если заменить первое на , а второе на вредоносный сайт, то кейс приобретает весьма неприятный привкус.
Я нашел как минимум два варианта обхода информирования о том, что сообщение редактировалось:
1. Такое сообщение можно подготовить через отложенные сообщения, в таком случае любые изменения не будут видны при отправке сообщения. То есть все изменения будут произведены в отложенных сообщениях, а получателю уйдет сразу готовое сообщение, редактировать которое уже нет необходимости.
2. Подготовить шаблон сообщения через личные сохраненные (Saved Messages) и просто пересылать данное сообщение. Логика та же.
Для сравнения два варианта:
Сообщение в личных сообщениях ‒ есть подпись «edited», изменено.
Далее я просто пересылаю это сообщение через штатный «forward to». На скриншоте ниже видно, что в сообщении при пересылке другому пользователю отсутствует подпись о редактировании «edited».
Показанный мною метод – еще один кирпичик в замке повышения лояльности жертвы к мошеннику, так как в данном сообщении визуально нет абсолютно НИ-ЧЕ-ГО подозрительного, а значит куда больше шанс, что пользователь все-таки перейдет по этой ссылке и получит вирус или же введет свои учетные данные от банковского приложения, или от Госуслуг.
Мошенники становятся умнее и изощреннее и уже недостаточно просто проверить ссылку, указанную в самом сообщении, куда важнее, на какой именно ресурс вы переходите. При переходе сам Telegram обычно спрашивает, хотите ли вы перейти на внешний ресурс в таком виде:
Будьте бдительны и всегда проверяйте, куда именно вы переходите!
Сообщение 1
Картинка 1
Сообщение 2
Картинка 2
С виду они абсолютно идентичны, но дело в том, что на картинке 1 обычная ссылка на стартовую страницу Яндекс браузера, а на картинке 2 ссылка, ведущая на другой сайт, возможно, вредоносный. Как же так получается и что с этим делать, разбираю в статье ниже.
Пристегнуть ремни, поехали!
По около 9 млн россиян каждый месяц сталкиваются с мошенническими сайтами. Более того «17% пользователей компьютеров и 12,5% владельцев мобильных устройств игнорировали предупреждения и переходили на ресурсы жуликов». Разумеется, многое зависит от качества действий мошенников: насколько качественно сделана ссылка, нет ли в обманном сообщении выдающих атрибутов и не вызывает ли подозрений сам сайт.
Когда речь идет о вредоносных сайтах (в данном контексте имеются ввиду сайты, с помощью которых мошенники или выуживают учетные данные от личных кабинетов, например, Госуслуг, или доставляют вредоносные программы) всегда встает вопрос привлечения на них жертв: кто-то по старинке использует почту, а кто-то перешел на более современные способы – мессенджеры.
Не стал исключением и Telegram, количество пользователей которого, по разным оценкам, насчитывает от 800 млн до 1 млрд человек в месяц по всему миру. С недавнего времени стали популярными фейковые сообщения в Telegram о подарке премиум-аккаунта.
Пример такого сообщения:
Чтобы понимать, от чего защищаться, нужно понимать, как это работает. Поэтому я постараюсь погрузить вас в разбор одного из таких фишинговых сообщений и расскажу механизм его создания и маскирования под легитимное сообщение.
В самом начале у меня была идея написать статью лишь о том, что можно в одну ссылку «подложить» другую (штатный функционал Telegram), но впоследствии я открыл «ящик Пандоры» невиданных доныне масштабов.
Начнем по порядку
Уже довольно давно я стал задумываться о том, что функционал веб-telegram версии K (в рамках данной статьи я рассматриваю именно его), который позволяет любой текст превратить в кликабельную ссылку (как я часто делаю сам в своих постах в тг), может также позволить указать любую ссылку в качестве текста.Для примера я разберу следующий случай: под видом ссылки на Яндекс можно подложить ссылку на (скриншот 1).
Скриншот 1
С первого взгляда с сообщением все в порядке – вы видите ссылку на Яндекс, вполне себе официальный сайт, и вас ничего не должно смущать, кроме момента перехода по этой ссылке. При переходе на внешний ресурс Telegram обычно указывает сам внешний ресурс и спрашивает, точно ли вы хотите перейти на него? Но будем честны, кто их читает, когда на первом этапе, визуальном, ничто не предвещает беды.
На этом статья могла бы закончиться, но дело вот в чем: когда я добавил ссылку на Яндекс, внизу в плашке быстрого перехода подтянулся Яндекс, как и должен был (скриншот 2).
Скриншот 2
Далее я, не подменяя ссылки, отправил сообщение получателю, и плашка Яндекса сохранилась (скриншот 3).
Скриншот 3
Уже отправленное сообщение я редактирую и «вшиваю» в ссылку ссылку : ПКМ на сообщение → Edit (скриншот 4).
Скриншот 4
Далее я выделяю текст ссылки и выбираю следующую опцию как на скриншоте ниже (скриншот 5).
Скриншот 5
Добавляю другую ссылку (скриншот 6).
Скриншот 6
Сохраняю изменения и вуаля (скриншот 7)!
Скриншот 7
После того, как я подменил реальную ссылку на Яндекс другой, , плашка быстрого перехода на Яндекс осталась! Просто посмотрите на это сообщение и задайтесь вопросом – смущает ли вас что-то в нем визуально?
Что мы имеем в итоге и чем это чревато?
В данном сообщении есть ссылка на Яндекс (в которой на самом деле «зашита» другая ссылка) и официальная плашка быстрого доступа с картинкой Яндекса, которая указывает на стартовую страницу Яндекс-браузера. Мне кажется, этого достаточно для того, чтобы жертва поверила в легитимность сообщения.Для визуального сравнения ниже указаны 2 варианта сообщения:
Сообщение с оригинальной ссылкой
Сообщение со сторонней ссылкой
В данном случае Яндекс и взяты для примера, но если заменить первое на , а второе на вредоносный сайт, то кейс приобретает весьма неприятный привкус.
Почему же тогда остается плашка быстрого доступа на ya, если ссылки уже нет?
Telegram работает таким образом, что в плашку быстрого доступа всегда попадает первая добавленная ссылка. В нашем случае это Яндекс. Сама ссылка на Яндекс никуда не исчезла, она также присутствует по тексту, и, видимо, именно на нее ссылается сама плашка, вот только эта ссылка «перебита» новой по логике работы Telegram. То есть технически для Telegram ссылка на Яндекс существует, а для нас уже нет.Но я ведь увижу, что сообщение редактировалось меня не провести!
Верно, у редактируемого сообщения в правом нижнем углу есть надпись «edited», но и на это у меня есть ответ.Я нашел как минимум два варианта обхода информирования о том, что сообщение редактировалось:
1. Такое сообщение можно подготовить через отложенные сообщения, в таком случае любые изменения не будут видны при отправке сообщения. То есть все изменения будут произведены в отложенных сообщениях, а получателю уйдет сразу готовое сообщение, редактировать которое уже нет необходимости.
2. Подготовить шаблон сообщения через личные сохраненные (Saved Messages) и просто пересылать данное сообщение. Логика та же.
Для сравнения два варианта:
Сообщение в личных сообщениях ‒ есть подпись «edited», изменено.
Далее я просто пересылаю это сообщение через штатный «forward to». На скриншоте ниже видно, что в сообщении при пересылке другому пользователю отсутствует подпись о редактировании «edited».
Почему это проблема и что же теперь делать?
Делом в том, что первичная задача любого мошенника – пройти порог доверия жертвы. Этому способствуют различные факторы: качество фейкового сообщения, модель общения (социальная инженерия) или информация, которой злоумышленник обладает о самой жертве.Показанный мною метод – еще один кирпичик в замке повышения лояльности жертвы к мошеннику, так как в данном сообщении визуально нет абсолютно НИ-ЧЕ-ГО подозрительного, а значит куда больше шанс, что пользователь все-таки перейдет по этой ссылке и получит вирус или же введет свои учетные данные от банковского приложения, или от Госуслуг.
Мошенники становятся умнее и изощреннее и уже недостаточно просто проверить ссылку, указанную в самом сообщении, куда важнее, на какой именно ресурс вы переходите. При переходе сам Telegram обычно спрашивает, хотите ли вы перейти на внешний ресурс в таком виде:
Будьте бдительны и всегда проверяйте, куда именно вы переходите!
