Как в Telegram уводят аккаунты, крадут каналы и как от этого защититься
Всем привет! Меня зовут Марзаганов Даниил. Я владелец сетки телеграм-каналов с аудиторией более миллиона подписчиков и веду свой блог про маркетинг. Сегодня я объединился вместе с одним крупным админом, который полностью подготовил этот материал и выложил его у себя на новом канале.
Этот материал выходит по причине того, что сейчас участилась кража аккаунтов и мы хотим помочь людям защитить себя.
Весь текст далее писал он: Перед тем как я начну, хочу сказать что я не наталкиваю и не призываю к тому чтобы воплотить данную схему в жизнь, а лишь делюсь тем как это происходит на самом деле и делюсь советами по безопасности, с данной статьи вы сможете подчеркнуть для себя многие моменты и обезопасить себя.
В этом году прокатилась волна скама в телеграме через стиллер, который ворует данные пользователей с их компьютера, под видом рекламным агентов и менеджеров , в большинстве они пишут текст среднего уровня и отправляют ссылку на скачивание видео, программы, на фейковых лендингах, которые создаются за 10$ с покупкой домена
В данной статье я расскажу
- Как обманывают админа и отправляют ему вирус для получения доступа к каналу
- Как получают доступ к аккаунту администратора в телеграме
- Как заходят в чужой аккаунт в телеграме без уведомлений
- О том как обезопасить себя от скамеров (Полезно не только админам телеграм каналов)
Что требуется мошеннику для кражи
- Софт для кражи данных или софт для удаленного управления компьютером
- Криптор (штука которая зашифровывает ваш файл дабы его не увидел антивирус)
- Аккаунт в телеграме и понимание как работают админы в нем
Шаг первый – покупка / регистрация аккаунт через активаторы
Шаг второй – заполнение аккаунта
под вид менеджера либо оставляет как есть, но для траста лучше заполняют все по максимуму и вписывают в био официальную почту сайта/программы, но делают ее по такому примеру: следите за буквами
Реальная
kasperskylab@gmail.com
Фейк
- kasperskyIab@gmail.com
- kasrerskylab@gmail.com
- kasperckylab@gmail.com
- kasperskylad@gmail.com
- kosperskylab@gmail.com
Шаг третий – покупают / скачивают софт для кражи или удаленного доступа
Шаг четвертый – Криптуют (скрытие от антивируса) , меняют расширение (doc,exe, scr, png, jpj), склеивают файлы(совмещают файлы) и получают готовый файл под наш шаблон.
В нашем случае это будет Dogovor.exe который закриптован (зашифрован от антивируса и соединен с doc) и далее склеен с
файлом dorovor_po_okazaniy_ysly.doc, чуть ниже вы это увидите.
Шаг пятый – находят жертву, рассказывать как ищут не буду, но для вас я делаю это все на двух виртуальных машинах и жертвой выступаю сам я.
Шаг шестой – Пишут жертвам, обсуждают условия, цену, места и только после этого втюхиваютто, что они хотят втюхать (В телеграм, на данный момент, впаривают проморолик с расширением .SCR, который является вирусом )
Шаг седьмой – После того как мошенник пообщался с жертвой, он скидывает файл, якобы это формальность все дела.
Шаг восьмой – Человек открывает файл и мы получаем вот это (Он открывает файл и получает действительно реальный договор, но вместе с этим он получает так же и мой файл который открывает вирус)
Шаг девятый – Скачивает портейбл версию телеграма и с лога жертвы отправляем файлы в портейбл телеграм
Шаг десятый – После мошенник открывает телеграм и видим вот это. Мошенник уже находится в Телеграм аккаунте жертвы
Причем нам не пришло уведомление от Телеграм о том, что кто-то зашел в аккаунт, которые обычно сразу рассылается
Какие возможности есть у мошенника
- Обмануть людей на рекламу – поменять описание канала
- Угнать канал получится в случае если ваш стиллер украл пароль от 2фа, который находится в текстовых документах на компьютере у жертвы где либо, либо бы как автозаполнение в браузере на web.telegram.org
- Угнать аккаунт с помощью вируса удаленного доступа, то есть мошенник дожидается пока жертва уходит или отходит от пк и угоняеь канал, либо ставит 2фа сам, но оставляет администратору доступ к каналу
- Выгрузить все переписки и использовать в качестве компромата ( интим, переписки и т.д )
Думаю на этом стоит закончить и перейти к моменту по безопасности админов
Безопасность
Что следует делать чтобы не остаться без канала, аккаунта и личных данных с
помощью данной схемы?
– Хранить пароли в менеджерах паролей по типу KepasssXS либо в аппаратном
кошельке Trezor имеется функция хранения паролей.
– Не переходить по странным ссылкам
– Не скачивать файлы от знакомых / не знакомых людей, даже если вы их
проверили и файл оказался чистыми на Virustotal, через день - два, он будет
грязным как правило.
– Поставить 2фа на телеграм и не хранить свои пароли в телефоне, заметках, на
рабочем столе, блокноте в архиве, а так же не клеить свои пароли на стикеры
рядом с монитором.
– Проверять контакты людей дабы не быть обманутыми и их реквезиты если они
изменились узнать почему они изменились и уточнить у своего комьюнити
админов что такое и почему.
– Использовать антивирус, как ни странно он обычно помогает в некоторых
случаях предотвратить открытие потенциального вируса.
– Не раскрывать свои персональные данные незнакомым людям и она показ
остальным, так как с помощью этих данных возможна ваша дискредитация.
– Не покупайте ворованные телеграм каналы, проверяйте владельцев через
Telemetr во вкладке контакты и уточняйте каким образом попал канал в руки
другого человека.
Используя данные правила, советы вы сможете себя обезопасить от действий мошенника и не остаться без гроша, а может и биткоинов :D
Спасибо еще раз каналу Scamer, который составил эту статью и прислал мне. А вас прошу поставить галочку вверх, чтобы о статье узнало как можно больше людей
Будто перевод прочитал. Не понятно, от чьего лица ведется повествование. Кто кого взламывает. В какой-то моент показалось, что это вы злоумышленника взломали. Лог -это журнал выполнения операций, а не данные сессии. Пихать логи в другой телеграмм бессмысленно, вы данные сессии пихаете.
Стоило еще упомянуть, что склеивание вредоноса с каким-либо документом сработает только тогда, когда в программе, обычно преднозначенной для открытия этого документа есть незакрытая уязвимость. Для примера на скриншоте жертве прислали .doc, так чтобы троян на машине жертвы запустился, должен быть установлен microsoft office, имеющий уязвимость, на которую нацеливался злоумышленник. Если офис обновлен, то скорее всего уязвимость уже закрыли и троян не запустится. Вывод: обновляйте софт и ОС, либо открывайте странные файлы в виртуалке, а еще надежнее - переходите на линукс.
Да, глаза от стиля изложения просто кровоточили. Но однко же, все это напомнило, что пока я занимаюсь херней на дядю, кто-то клепает "сетки кангалов" и живет на этом. (
В телеграме повествование ведется от первого лица, а тут переделали на третье лицо т.к vc может принять данный момент как призыв к действию. А касательно лог, вы правильно сказали, но я стал запутывать максимально читателя, думаю слишком много сложны терминов. По поводу doc, так же правы, можно переделать в картинку и сбрасывать как чек. А касательно доков, данная уязвимость работает лишь до 16 года с офисами.
"Криптуют (скрытие от антивируса) , меняют расширение (doc,exe, scr, png, jpj), склеивают файлы(совмещают файлы) и получают готовый файл под наш шаблон."
Я не пойму, как можно склеить два файла, чтобы он открывался как ворд, но при этом и exe выполнялся?
Комментарий недоступен
Это называется "дроппер", когда из не исполняемого файла (excel, word, etc) запускается exe, wsf, sh и тому подобное
Мне кажется хороший вариант — это не вести общение с клиентами с аккаунта владельца канала или вообще создавать каналы с отдельного аккаунта, а на личный давать права редактора, так при потенциальном взломе точно ничего не получится угнать