vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Migalki Club
Старожил
Меценат💎
Как социальный инженер сразу скажу: обмануть можно кого угодно, мошеннику нужно лишь оказаться в нужное время в нужном месте. Зачастую это не так сложно, как кажется. Здесь будет история человека, которая, надеюсь, убедит вас внимательнее относиться к безопасности в Telegram. Особенно если вы решились на эксперименты с криптой.
В описании программы указано: «Бот предназначен для подтверждения номера телефона в случае подозрительной активности в вашей учетной записи». Обратите внимание, как тщательно бот копирует стилистику оригинала. Заблюренная ссылка ведет на оригинальный канал.
После запуска бот предлагает открыть свое приложение, которое сразу же запрашивает авторизацию «для открытия дополнительных функций и синхронизации аккаунта».
Авторизация предлагается через вход по телефонному номеру, привязанному к аккаунту. Его даже не надо самостоятельно вводить —Telegram позволяет передавать номер одним кликом.
Код для авторизации в аккаунте приходит на официальный канал Telegram. Как будто вызывает доверие, да?
А вот дальше тревожнее: после ввода кода авторизации приложение просит указать еще и облачный пароль (если он установлен).
Внимательный пользователь в этот момент заметит, что в разделе настроек безопасности появляется новая сессия, образованная с аккаунтом. Ее инициировал этот самый бот с геолокацией из Польши (судя по системному сообщению).
Теперь только облачный пароль двухфакторной аутентификации отделяет злоумышленника от проникновения в аккаунт жертвы. Дальше все развивается молниеносно: владелец аккаунта вводит облачный пароль, но получает сообщение об ошибке и неверно введенном пароле. Но неверный он лишь в системном сообщении: в реальности злоумышленник успешно заходит в аккаунт с полученными данными и, пока жертва в замешательстве пробует ввести пароль заново и пишет собеседнику об ошибке, его криптоадреса уже обчищены. Через некоторое время аккаунт блокируется и полностью удаляется — со всеми переписками, контактами и доступам к администрированию сообществ.
Если вам кажется, что «все и так очевидно», то это правда. Герой этой истории тоже понял это постфактум. Но социальные инженеры в мошеннических структурах работают так, что внутри сценария жертва не успевает осознать «очевидную схему». Технически описанная схема была максимально простой: не потребовалось эксплойтов, перехвата трафика или сложной социальной инженерии. На чем же она держалась?
1. Спешка и давление обстоятельств
Вспомним, что владельцу аккаунта нужно было срочно совершить сделку и он с нетерпением ждал отклика на объявление. Эти обстоятельства создавали напряжение, в котором человеку свойственно искать простые выходы. Сообщение от незнакомца пришло вовремя — оно выглядело логичным.
2. Доверие к интерфейсу
Интерфейс приложения был хорошо стилизован под бренд Telegram, а критическое мышление к моменту взаимодействия с ним уже ослабло и доверилось копии. Мы уже привыкли везде делиться номером, вводить коды и пароли — многие из нас совершают эти действия на автомате, быстро соглашаясь на просьбы ввести свои данные. Посмотрите, какую злую шутку сыграла иллюзия защиты через 2FA: наличие «облачного пароля» дало ощущение защищенности.
3. Истощение когнитивных ресурсов
Нет сомнений в том, что герой этой истории хорошо разбирается в технологиях и уверенно ориентируется в приложениях, раз работает с криптой. От стал жертвой не из-за недостатка знаний, а из-за ловко задействованных психотриггеров: в условиях дефицита времени он сфокусировался на клиенте, затем доверился знакомому визуальному паттерну и в результате машинально совершил знакомые по другим сервисам действия — ввод кодов, паролей, данных доступа. После нескольких часов ожидания сообщения о покупке человек уже находился в стрессовом состоянии, его когнитивные ресурсы были истощены. В таком состоянии включается автоматический режим работы, где мы готовы ввести любой код, лишь бы скорее решить свой вопрос.
Почему не сработало предупреждение в системном сообщении? Пользователи со временем перестают в них вчитываться, формируется своеобразная «слепота» в их отношении. Вы читаете фразу «Никому не передавайте код», но вы не выполняете эту рекомендацию, потому что увлечены решением вопроса, а критическое мышление уже снижено стрессом и нехваткой времени.
P. S. В качестве эксперимента показываю, как мои попытки ввести некорректный пароль взволновали владельца бота и спровоцировали его выйти на связь прямо в диалог бота и вскрыть мошенническую схему.
Важное о мессенджере, который вы используете каждый день
Telegram давно уже не «просто мессенджер»: внутри экосистемы, помимо чатов и каналов, живут всем известные боты, а с 2022 года и полноценные веб-приложения. Еще в Telegram есть огромное криптосообщество со своими «аппками», например целые криптокошельки и биржи, которые по визуалу ничем не отличаются от привычных криптоплатформ в Сети. Пользователь открывает их прямо в чате, и перед глазами появляются личный кабинет, графики и котировки, различные способы управления криптовалютой. Вариативность дизайна ботов сильно ограничена форматом чата, зато веб-приложения разработчики могут сверстать на любой вкус. Запомним это.«Угон» аккаунта по шагам
День у героя этой истории начинался непросто: нужно было срочно обменять средства, но на объявление никто не откликался. Наконец после нескольких часов ожидания в криптоприложение пришло сообщение от незнакомца. Он утверждал, что у продавца в объявлении не указаны реквизиты и средства ему перевести не удастся. Возможно, объяснял аноним, дело в том, что реквизиты неавторизованы или заблокированы. Впрочем, это легко исправить — достаточно авторизоваться в боте этого же криптообменника. И да, наш герой соглашается, переходит по ссылке-юзернейму в бот и запускает его. Далее — следим за руками, точнее, за схемой мошенничества с подробными скринами.В описании программы указано: «Бот предназначен для подтверждения номера телефона в случае подозрительной активности в вашей учетной записи». Обратите внимание, как тщательно бот копирует стилистику оригинала. Заблюренная ссылка ведет на оригинальный канал.
После запуска бот предлагает открыть свое приложение, которое сразу же запрашивает авторизацию «для открытия дополнительных функций и синхронизации аккаунта».
Авторизация предлагается через вход по телефонному номеру, привязанному к аккаунту. Его даже не надо самостоятельно вводить —Telegram позволяет передавать номер одним кликом.
Код для авторизации в аккаунте приходит на официальный канал Telegram. Как будто вызывает доверие, да?
А вот дальше тревожнее: после ввода кода авторизации приложение просит указать еще и облачный пароль (если он установлен).
Внимательный пользователь в этот момент заметит, что в разделе настроек безопасности появляется новая сессия, образованная с аккаунтом. Ее инициировал этот самый бот с геолокацией из Польши (судя по системному сообщению).
Теперь только облачный пароль двухфакторной аутентификации отделяет злоумышленника от проникновения в аккаунт жертвы. Дальше все развивается молниеносно: владелец аккаунта вводит облачный пароль, но получает сообщение об ошибке и неверно введенном пароле. Но неверный он лишь в системном сообщении: в реальности злоумышленник успешно заходит в аккаунт с полученными данными и, пока жертва в замешательстве пробует ввести пароль заново и пишет собеседнику об ошибке, его криптоадреса уже обчищены. Через некоторое время аккаунт блокируется и полностью удаляется — со всеми переписками, контактами и доступам к администрированию сообществ.
Что остается сделать?
К сожалению, уже практически ничего. Telegram не дает никаких подробностей о том, кто входит в аккаунт, даже IP адресов, а поддержка отвечает очень редко и бессильна в большинстве вопросов. Telegram — капризный, дырявый и слабо модерируемый кросс-платформенный мессенджер. Все действия в нем полностью под вашей ответственностью. Вот что можно попробовать сделать:- «задать вопрос» внизу меню настроек аккаунта;
- написать обращение по ссылке ;
- разослать обращения по адресам:
- [email protected] — общий адрес поддержки;
- [email protected] — проблемы со входом в аккаунт;
- [email protected] — восстановление доступа к удаленному аккаунту, жалоба на кражу аккаунта;
- [email protected] — сообщения, касающиеся безопасности данных;
- [email protected] — жалобы на мошенничество, спам, нежелательный контент.
Как это сработало?
Разберем, что пошло не так в схеме взаимодействия с мошенником, где были сделаны критические шаги и до какого момента потерю аккаунта еще можно было предотвратить.Если вам кажется, что «все и так очевидно», то это правда. Герой этой истории тоже понял это постфактум. Но социальные инженеры в мошеннических структурах работают так, что внутри сценария жертва не успевает осознать «очевидную схему». Технически описанная схема была максимально простой: не потребовалось эксплойтов, перехвата трафика или сложной социальной инженерии. На чем же она держалась?
1. Спешка и давление обстоятельств
Вспомним, что владельцу аккаунта нужно было срочно совершить сделку и он с нетерпением ждал отклика на объявление. Эти обстоятельства создавали напряжение, в котором человеку свойственно искать простые выходы. Сообщение от незнакомца пришло вовремя — оно выглядело логичным.
2. Доверие к интерфейсу
Интерфейс приложения был хорошо стилизован под бренд Telegram, а критическое мышление к моменту взаимодействия с ним уже ослабло и доверилось копии. Мы уже привыкли везде делиться номером, вводить коды и пароли — многие из нас совершают эти действия на автомате, быстро соглашаясь на просьбы ввести свои данные. Посмотрите, какую злую шутку сыграла иллюзия защиты через 2FA: наличие «облачного пароля» дало ощущение защищенности.
3. Истощение когнитивных ресурсов
Нет сомнений в том, что герой этой истории хорошо разбирается в технологиях и уверенно ориентируется в приложениях, раз работает с криптой. От стал жертвой не из-за недостатка знаний, а из-за ловко задействованных психотриггеров: в условиях дефицита времени он сфокусировался на клиенте, затем доверился знакомому визуальному паттерну и в результате машинально совершил знакомые по другим сервисам действия — ввод кодов, паролей, данных доступа. После нескольких часов ожидания сообщения о покупке человек уже находился в стрессовом состоянии, его когнитивные ресурсы были истощены. В таком состоянии включается автоматический режим работы, где мы готовы ввести любой код, лишь бы скорее решить свой вопрос.
Почему не сработало предупреждение в системном сообщении? Пользователи со временем перестают в них вчитываться, формируется своеобразная «слепота» в их отношении. Вы читаете фразу «Никому не передавайте код», но вы не выполняете эту рекомендацию, потому что увлечены решением вопроса, а критическое мышление уже снижено стрессом и нехваткой времени.
Как не отдать свой аккаунт собственными руками: лайфхаки от социального инженера
- Все серьезные операции в мессенджере и его инфраструктуре совершайте только в спокойной обстановке и при наличии времени. Это позволит действовать не на автопилоте, а осознанно.
- Обращайте внимание на системные сообщения и подозрительные запросы персональных данных. Приложения не должны запрашивать телефонные номера — это серьезная угроза безопасности.
- Помните про эффект ложного контроля: наличие двухфакторки не означает, что злоумышленник не проникнет в аккаунт с паролем. Система не защищает от ваших собственных решений, принятых в состоянии стресса.
- Всегда делайте паузу перед любым действием с данными. Если кто-то заставляет вас спешить, это почти стопроцентно мошенничество. Небольшая задержка может стать спасительной: мозг перейдет из реактивного режима в осмысленный и остановит вас от неосмотрительного шага.
P. S. В качестве эксперимента показываю, как мои попытки ввести некорректный пароль взволновали владельца бота и спровоцировали его выйти на связь прямо в диалог бота и вскрыть мошенническую схему.
