Տելեգրամյան օգտահաշիվը գողանալու նոր արշավ՝ հայ օգտատերերի դեմ

Այս զեկույցում կներկայացնենք Տելեգրամի հայ օգտատերերի օգտահաշիվները գողանալու նոր հարձակման մանրամասները։

Հարձակման ուղղությունը

Հարձակումը սկսվում է անցանկալի հաղորդագրություններից, որոնք արդեն գողացված Telegram օգտահաշիվների կողմից ուղարկվում են նրանց կոնտակտներին: Հաղորդագրության տեքստում ասվում է, որ օգտատերը մասնակցում է մրցույթի և խնդրում է քվեարկել իր օգտին՝ ցուցադրելով կեղծված հղում՝ hxxps[://]DAXCEARM[.]WVE:

Armenia -- Screenshot of a Telegram Phishing SMS, Yerevan, 26Mar2024

Կեղծված հղման տակ, իրականում, հետևյալ հղումն է՝ hxxps[://]cutt[.]ly/Hw2lLLHa։ Սա կրճատված հղում է՝ օգտագործելով https://cutt.ly/ ծառայությունը, որը վերջին շրջանում հաճախ է շահագործվում Հայաստանում ֆիշինգային հարձակումների ժամանակ։ Բեռնվելուց հետո կարճ URL-ը վերաուղղորդավորվում է դեպի Տելեգրամի կեղծ լոգինի էջ, որը հարձակման սկզբնական փուլում զարմանալիորեն ուզբեկերեն էր՝ hxxps[://]dolbaebshesp[.]in/:

Armenia -- A fake Telegram login page, 26Mar2024

Հարձակման ավելի ուշ փուլերում URL-ը սկսեց ցուցադրել կեղծ մուտքի էջի հայերեն տարբերակը:

Armenia -- A fake Telegram login page in Armenian, 26Mar2024

Երբ օգտատերը ներկայացնում է իր հեռախոսահամարը, նրան ցուցադրվում է անվտանգության ծածկագիր պահանջող էկրան՝ ընդօրինակելով Telegram-ի օրինական մուտքի գործընթացը:

Armenia -- Fake Telegram code request page, Yerevan, 26Mar2024

Եթե հարձակումը հաջողվում է, ապա զոհի Տելեգրամի հաշվի «Սարքեր» բաժնում հայտնվում է նոր վավերացված սարք, որը պատկանում է հարձակվողին և վերջինիս հնարավորություն է տալիս օգտագործել այս հասանելիությունը՝ տուժողի կոնտակտներին նմանատիպ հաղորդագրություններ ուղարկելու համար՝ էլ ավելի տարածելով հարձակումը: