Вы часто видели в мессенджере рекламу сервисов, которые предлагают подарить Telegram Premium, «пробить» данные о другом пользователе, «раздеть» подругу, «накрутить лайков», либо просьбу проголосовать в фотобатле? Это не что иное, как расставленная ловушка для угона вашего аккаунта в Telegram или WhatsApp.
Фишинговые ресурсы, нацеленные на кражу аккаунтов в популярных мессенджерах, остаются актуальной угрозой для пользователей. Злоумышленники создают узкоспециализированные веб-панели, где можно в несколько кликов сделать ресурс, нацеленный на пользователей Telegram или WhatsApp, заручиться поддержкой преступного сообщества и большим количеством мануалов.
Описание работы фишинговых веб-панелей в блоге подготовлено исключительно для ознакомления специалистами по информационной безопасности и широкой аудитории для предотвращения возникновения инцидентов с кражей учетных записей и минимизации возможного ущерба. Напоминаем, что взлом и угон аккаунтов в мессенджерах и соцсетях подпадает сразу под несколько статей Уголовного Кодекса РФ.
Как отмечают специалисты CERT-F6, количество таких веб-панелей не велико, они имеют схожие принципы работы и функционал и способны поддерживать работу сотней пользователей. На момент исследования мы обнаружили шесть панелей, используемых для создания фишинговых ресурсов, нацеленных на пользователей Telegram и одну панель, работающую по WhatsApp. О количестве ресурсов можно, судить по тому, что с помощью только одной из них с января по июнь 2024 года было создано более 900 сайтов для кражи аккаунтов. Злоумышленники каждый раз находят новые поводы, например, вывод средств из игры Humster Kombat, и благополучно используют старые: денежные призы, бесплатные подписки, голосование, доступ в приватный канал и другие, побуждая пользователей вводить конфиденциальные данные на фейковых ресурсах. Украденные аккаунты продаются через маркеты в веб-панели или Telegram-ботов. Так прибыль за криминальную активность «топпера» — наиболее опытного и успешного участника группы «угона» («тимы») в месяц может варьироваться от 600 000 до 2 500 000 рублей в зависимости от панели. Доходы новичков и рядовых участников будут значительно скромнее.
В этой статье мы рассмотрим несколько веб-панелей, которыми на последнее время активно пользуются злоумышленники для атак в русскоязычном интернет-пространстве и поймем механизм создания таких фишинговых ресурсов.
Фишинговая веб-панель SocEng
Панель Social Engineering (далее — SE) — платформа для создания фишинговых ресурсов, нацеленных на пользователей Telegram. Эта фишинговая панель начала свою работу в мае 2023 года.
Панель SE была доступна бесплатно для любого пользователя, который подал заявку и получил одобрение на регистрацию. При этом заявка подается не «классическим» способом через Telegram-бота, а на теневом форуме, в личные сообщения пользователю. В заявке требуется ответить на три простых вопроса:
- Откуда узнали о нас
- Опыт работы
- Указать профиль Telegram
Недолгое ожидание и в ответном письме получаем ссылку на регистрацию.
Рис.1. Диалог на форуме с заявкой на пользование платформы
Зарегистрироваться самостоятельно без одобрения заявки администратором на платформе нельзя. Кнопка «Создать аккаунт» на странице входа отправляет в Telegram, где расписаны правила получения доступа к панели.
Рис.2. Страница входа в панель Social Engineering
Рис.3. Telegram-канал с инструкцией получения доступа
Кроме того, перед началом работы необходимо получить токен. Токен выдается Telegram-ботом для привязки аккаунта к панели администратора, чтобы отслеживать состояния логов и выставление их на продажу. Логом на языке воркеров называется файл украденной сессии.
Рис.4. Telegram-бот для привязки к панели
При бесплатном использовании панели есть условие, что с пользователя удерживается комиссия в виде каждого пятого лога. Есть также платные функции (подписки), которые оплачиваются внутри панели:
- Криптовалютой 500$ — при такой подписке открывается доступ ко всему функционалу на 1 месяц (для тех, кто делает большие объемы)
- Оплата закаждый лог — с счета пользователя будет списываться 0,5$ за каждый скачанный валидный лог (разовый фишинг). Валидным называется рабочий аккаунт Telegram, который был украден, и подлежит продаже.
На фишинговой платформе собирается статистика о работе пользователей и формируется рейтинг, поэтому для постоянных пользователей есть определенные бонусы: топ 5 пользователей реже платят «налог» — удерживается каждый 6 лог, топ 1 недели — 1 день подписки на панель (не взимается комиссия), топ 1 месяца — 5 дней подписки на веб-панель.
Наполнение панели
Рис.5. Главная страница панели SE
На главной странице отображается информация о балансе и токене пользователя.
На этой же странице пользователи панели могут отслеживать рейтинги «топеров», воркеров с наибольшим числом украденных сессий за день, неделю, месяц, все время на основании количества сделанных логов.
Пользователи панели могут выгружать логи автоматически на маркет форума, совершая так называемые АвтоПродажи (при этом можно самостоятельно регулировать стоимость в личном кабинете панели).
Рис.6. Выгрузка логов на маркет форума
Другой способ — продавать свои логи через бота в Telegram, куда пользователь может загрузить архив со всеми аккаунтами. В Telegram-боте цены варьируются в зависимости от геолокации, за один аккаунт злоумышленник может максимально выручить до 45 рублей.
Средняя стоимость продажи логов на маркете форума — 150 рублей. Цена украденного аккаунта зависит от того, есть ли подписка на premium, полномочия админа или владельца канала, количество диалогов, продолжительность «отлежки» (время с момента угона аккаунта, за которое он не был заблокирован или возвращен легитимному владельцу). По мере того, как выставленных на продажу учетных записей становится больше «на рынке», растет предложение, средняя цена за штуку будет снижаться.
В панели представлена возможность создавать два вида фейков: «фейк web» (фишинговый сайт) и «бот фишинг» (фишинг через Telegram-бота).
Рис.7. Выбор вида фишинга.
Каким образом происходит создание фишинговой страницы ?
1. Покупка домена
Приобретение домена и добавление его в панель (в панели домену назначаются NS-сервера, которые пользователь привязывает в личном кабинете регистратора)
Рис.8. Добавление домена в панель
2. Создание шаблона фейка
В панели предусмотрено два шаблона фишинговых страниц «Официальное превью» и «Старый шаблон». Каждый шаблон состоит из двух частей: приветственной и финишной страницы. Пользователю остается только наполнить их контентом: добавить текст, изображения. Шаблон можно кастомизировать под определенную тематику. Шаблонов можно создавать неограниченное количество.
Рис.9. Создание фишинговой страницы
На финишной странице жертве можно показать его диалоги в Telegram, переадресовать на какой-либо другой ресурс или показать финальный экран, для которого в фейк-шаблоне можно также прописать все вводные.
Рис.10. Настройка финишной страницы
Рис.11. Фишинговый ресурс Telegram premium (шаблон «Официальное превью»)
Рис.12 — Фишинговый ресурс Telegram premium («Старый шаблон»)
Рис.13. Пример «кастомизации» фейкового шаблона
Или другой вариант кастомизации фишингового ресурса под популярную сейчас игру Hamster Kombat:
Рис.14. Пример «кастомизации» фейкового шаблона
3. Создание фейка
При создании фейка выбирается шаблон, который будет использован для обмана жертв; указывается путь, по которому будет открываться фишинговый ресурс (по умолчанию /tme), а также пользователь сразу может нажать галочку, чтобы все собранные логи выгружались автоматически на маркет форума.
Рис.15. Создание фейка
Рис.16 — Готовый фейк
Обнаружено более 900 фишинговых ресурсов, зарегистрированных в 2024 году и сделанных с помощью фишинговой панели SE (данные указаны на конец июня). Больше всего доменов было зарегистрировано в доменной зоне .ru — 307, на втором и третьем месте по популярности доменные зоны — .online и .shop. Наименование доменов часто содержит: «telegram», «premium», «auth», «tlg», «prem» и т.д. Многие свежие ресурсы доступны с добавлением пути «/tme», который в фейк-шаблоне прописывается по умолчанию.
Рис.17 — Количество доменов по месяцам за 2024
Рис.18 — Количество ресурсов по доменным зонам, в которых они зарегистрированы
Наибольшее количество доменов было зарегистрировано в феврале, вероятно, тогда был пик притока пользователей в веб-панель SE.
Параллельно существуют и другие фишинговые панели, например, панель Teletron, которая будет рассмотрена далее, по нашим подсчетам гораздо более популярная. Однако у фишинговой панели SE остаются свои«поклонники», на теневых форумах можно встретить большое количество положительных отзывов и чаты для обмена опытом между пользователями панели остаются активными, что свидетельствуют о том, что работа этой фишинговой панели не утихает.
На момент подготовки материала администраторы Social Engineering переименовали фишинговую панель в Success Team, а затем 21 октября 2024 года закрылись. Тем не менее, эти решения могут быть использованы в других фишинговых панелях, либо Social Engineering снова откроется с прежним или новым названием.
Фишинговая веб-панель Teletron
Teletron- фишинговая панель, которая, как и Social Engineering, предлагает готовые шаблоны для быстрого создания фишинговых ресурсов, нацеленных на кражу аккаунтов пользователей Telegram. Панель начала свою работу 29 января 2023 года. За первый год работы воркеры сделали почти 11 миллионов авторизаций. В общем чате команды состоит почти 3000 участников, на начало второго года работы платформы было более 500 активных воркеров.
Получить доступ к этой фишинговой панели достаточно просто, так как не требуется подавать заявку на получение доступа к ней, необходимо пройти процесс регистрации. Ссылка на регистрацию дается в одном из Telegram-каналов команды.
Рис.19 — Инструкция по получению доступа к панели
Рис.20 — Страница входа в панель Teletron
Рис.21 — Главная страница панели Teletron
Функционал рассматриваемой фишинговой панели аналогичен предыдущей. Воркер может следить за количеством логов, статистикой продаж, создавать собственные шаблоны фейков или пользоваться уже существующими. Основное отличие данной панели от предыдущей состоит в том, что Teletron предлагает больше вариантов готовых шаблонов (10 фейков): Telegram Premium, Приват 18+, Участие в голосовании, Денежный приз, Накрутка лайков, Верификация аккаунта и другие.
Рис.22. Пример готового фейка
Во вкладке «Мои домены» воркер привязывает фейковый шаблон, который предварительно может создать в Конструкторе фейков, либо выбрать имеющийся из списка. Перед созданием фейка необходимо заполнить план продаж: установить стоимость аккаунтов, которые будут автоматически заливаться на маркет.
Рис.23. Создание фишингового ресурса
Рис.24 — Список готовых фейк-шаблонов
Рис.25. План продаж
Условия использования веб-панели не указаны ни в мануалах, ни в Telegram-чатах команды, ни на самой платформе. Написав в Telegram-чат поддержки, мы выяснили, что каждый 5 лог удерживается в качестве комиссии за пользование фишинговой панели. В словаре фишера, которым пользуются воркеры, комиссионный аккаунт принято называть «на чай».
В разделе «ТОП пользователей» можно увидеть рейтинг топеров. Здесь, в отличие от панели SE, показываются только данные за текущие сутки.
Средняя прибыль топера
На доходы участника группы «угона» влияют два фактора: количество успешно украденных учетных записей и качество угнанных учеток.
Попробуем посчитать примерные доходы угонщиков. Продвинутый «топпер» в среднем крадет 21 056 логов за месяц. Общая сумма профита с учетом 150 рублей за лог составляет 3 158 400 рублей Чистая прибыль с учетом «налога» (каждый пятый лог) будет 2 526 750 рублей.
Приманка жертв или гон трафика
В мануалах на форуме опытные воркеры рассказывают об основных тематиках, которые стоит использовать, чтобы сделать как можно больше логов.
«Тематика — это то, чем мы фактически будем заманивать людей.»
- Telegram Premium
- Пробиватор
- Раздень подругу
Злоумышленники создают поддельные аккаунты в Telegram и с помощью специального бота делают тематические посты. Далее публикуют посты в каналах, которые подготавливают заранее, делая в них описание и привлекают трафик на эти каналы из социальных сетей. Пролить траффик — означает массово распространить фишинговую ссылку среди мамонтов (жертв).
Примеры описания
«Давно хотел пoлyчить Tеlеgrаm РRЕМIUМ бecплaтнo? Мы тебе поможем! Используй анимированные эмоции и анимированные аватарки бecплaтнo!»
«Мы поможем тебе узнать секреты своих друзей, как ты подписан у них в телефоне и что они думают о тебе, а главное — совершенно бесплатно!»
Рис.26. Создание поста под тематику «Пробиватор»
Кнопка «ПРОВЕРЬ И ТЫ!» ведет на тот самый фишинговый ресурс, который воркер создает в фишинговой панели с помощью фейковых шаблонов.
Рис.27. Готовый к публикации пост
Рис.28 Шаблон фишингового ресурса
Трафик опытные воркеры предлагают привлекать из TikTok’a. Воркер оформляет профиль и в описании профиля вставляет ссылки на Telegram-каналы. Для того, чтобы привлечь трафик создается «крео» и видео. Крео — это фотография, на которой будет вся информация (приманка), накладывается на видео.
«Переходим на наш аккаунт TikTok, и начинаем заливать это видео РОВНО 6 РАЗ, не больше, не меньше. Выключаем дуэты и комментарии.
Описание для видео: «Смотри, что я нашла #telegram #tg #premium #премиум #контакт #тг #телефон #контакты #contact #contacts #lifehack #lifehacks #лайфхак #лайфхаки»
Теперь необходимо ждать логов!» — пишет автор мануала.
Рис.29. Пример крео
Автор другого мануала пишет о том, что самый прибыльный метод получения трафика — это реклама и рекомендует использовать всевозможные сервисы: форумы, Telegram-каналы, группы ВК, ютуб, инстаграм, твиттер и прочее. «Вы можете потратить много времени на то, чтобы найти нужный Вам трафик, но только представьте, если Вы сможете гнать около 500 логов взрослой аудитории каждый день стабильно 6 месяцев. Это в среднем Вам будет выходить в 125.000 рублей в сутки (т.к. взрослые тг акки стоят 250+ руб), за полгода РЕАЛЬНО можно будет заработать около ДВАДЦАТИ МИЛЛИОНОВ рублей.»
Рассмотренные фишинговые панели пользуются большой популярностью среди воркеров, так как изначально доступ к этим панелям абсолютно бесплатный. Условие со взятием комиссии в виде логов, делает эти панели привлекательными для пользователей, так как не нужно сразу платить большую сумму, чтобы начать работать в них. Но есть и другие фишинговые панели, которые предоставляются только на платных условиях. В качестве примера мы рассмотрим панель Wphisher, которая также интересна тем, что она направлена на пользователей другого популярного мессенджера.
Фишинговая веб-панель Wphisher
Wphisher — фишинговая веб-панель, с помощью которой изготавливаются фишинговые ресурсы на WhatsApp. Данная фишинговая панель начала свое существование в декабре 2023 года. Доступ к панели платный, но предоставляется один раз и навсегда, стоимость — 500 $.
Рассматриваемая панель специализируется исключительно на фишинговых ресурсах на WhatsApp, однако, как пишет продавец панели, возможна интеграция с VK. Пользователю доступны как уже готовые шаблоны фейковых ресурсов, так и возможность создавать собственные или кастомизировать существующие. В панели можно создавать аккаунты с разными уровнями доступа «под свою тиму»: владелец, администратор, модератор, воркер.
Недавно компания F6 публиковала новость о новой волне фишинговых ресурсов с голосованиями за участников фотобатлов, нацеленных на кражу аккаунтов WhatsApp. В рассматриваемой панели, были обнаружены те самые шаблоны, которые используются для создания таких фишинговых ресурсов.
Как это работает ?
Злоумышленник приобретает домен, добавляет его в фишинговую панель и с помощью фейк-шаблонов создает фишинговый ресурс. Далее фишинговый ресурс отправляется жертве. После ввода запрашиваемых данных, злоумышленники перехватывают активную сессию пользователя и таким образом получают доступ к его аккаунту. Панель сохраняет сессии в формате профилей Chrome, которые потом пользователи панели могут скачать и открыть с помощью указанного браузера. Получив доступ к аккаунту жертвы, мошенники могут рассылать сообщения от имени владельца аккаунта с просьбой одолжить денежные средства или использовать в других мошеннических целях.
На текущий момент в фишинговой панели доступны шесть фейк-шаблонов:
Рис.30. Список фейк-шаблонов
Выглядят они следующим образом:
Рис.31 - Шаблон 1.: Сообщение об ошибке
Рис.32 - Шаблон 2.: Авторизация по QR-коду
Рис.33 - Шаблон 3.: Авторизация по номеру телефона
Рис.34 - Шаблон 4.: Авторизация по QR-коду
Рис.35 - Шаблон 5.: Авторизация по номеру телефона
Рис.36 - Шаблон 6.: Голосование
Рис.37. Создание нового фейк-шаблона
На главной странице доступен список всех украденных сессий с информацией о профиле, номере телефона, ip-адресе, стране, дате создания. На этом же экране пользователи панели отслеживают активность жертвы: каждый раз, когда жертва открывает фишинговый ресурс и вводит данные, об этом появляется отбивка в системе в разделе «Активность».
Рис.38. Список сессий
На этой странице пользователь панели видит список всех доменов, которые используются при создании фейковых шаблонов, может удалять домены или добавлять новые:
Рис.39. Управление доменами
Веб-панель работает на нескольких языках: английский, русский, украинский, белорусский, китайский. Можно настроить отправку уведомлений о новых сессиях в Telegram, Discord или на почту.
В настройках панели в разделе «Генерация» можно автоматически сгенерировать фейковый шаблон, выбрав его из списка и указав язык шаблона, а также домен, для которого он будет сгенерирован:
Рис.40. Настройки панели
Разработчик панели постоянно обновляет её, наполняя новыми функциями. Так, например, последние обновления были направлены на уникализацию фишинговой страницы: добавлена генерация уникальных «мусорных» блоков кода и стилей в случайных местах фейк-шаблона, чтобы дополнительно защититься от нежелательных блокировок.
Заключение
Исследование показало, что злоумышленники стремятся снизить трудозатраты на создание фишинговых ресурсов, пользуясь функциями фишинговых панелей и заранее заготовленными шаблонами. Это позволяет им концентрироваться на охвате большего количества жертв в своем криминальном бизнесе, оттачивании искусства привлечения трафика. При этом фишинговые панели позволяют киберпреступникам не только пользоваться шаблонами, но и контролировать весь процесс работы: отслеживать каждый шаг жертвы, информацию об украденных аккаунтах, формировать планы продаж, отслеживать статистику и прочее.
Внимание злоумышленников сейчас больше приковано к мессенджеру Telegram: действующих фишинговых панелей, которые работают по Telegram в три раза больше, чем фишинговых панелей, работающих по WhatsApp. Некоторые из тех панелей, которые ранее работали по WhatsApp временно приостановили свою работу и направили все свое внимание на пользователей Telegram.
Злоумышленники используют абсолютно разные тематики для обмана пользователей Telegram, от более широких «проголосуй за друга» или «получи подписку Telegram Premium» до более точечных, например, направленных на пользователей игры Standoff, в то время как в мессенджере WhatsApp все еще остается актуальной тематика голосований для обмана жертв и кражи аккаунтов.
Что нужно сделать, чтобы обезопасить себя?
- Включите все инструменты безопасности в мессенджерах, в том числе двухфакторную идентификацию и виртуальный пароль.
- Не переходите по подозрительным ссылкам, участвуйте в голосованиях только на проверенных платформах.
- Обращайте внимание на адресную строку в браузере и ее содержание: название ресурса, доменную зону, проверяйте на дату регистрации домена, используя специализированные Whois-сервисы.
- Если вам написала родственница или коллега с просьбой проголосовать или поучаствовать в конкурсе — уточните по другим каналам связи так ли это.
- Не сообщайте и не вводите на подозрительных ресурсах коды из СМС и push-уведомлений.
- Если Telegram-аккаунт разлогинился, попробуйте снова войти, но, если это не получается — оперативно связывайтесь с техподдержкой! Если все же получилось войти в свою учетную запись, то незамедлительно завершите чужие сессии и поменяйте облачный пароль.
