فیشینگ تلگرام

فیشینگ جدید و پیچیده ای بطور گسترده در تلگرام فعال است و با ربودن اطلاعات حساس مربوط به احراز هویت کاربران آن ها را هدف قرار می‌دهد. برخلاف فیشینگ سنتی که اغلب برای سرقت رمزهای عبور به بدافزار یا صفحات ورود شبیه‌سازی‌شده متکی است، این روش مستقیماً با زیرساخت رسمی تلگرام ادغام می‌شود.

هکرها اعتبارنامه‌های مربوط به API تلگرام(api_id و api_hash) را ثبت می‌کنند و از آنها برای ورود به سیستم استفاده می‌کنند.

این حمله از دو روش اصلی پشتیبانی می‌کند:

ورود با کد QR: صفحه فیشینگ یک کد QR به سبک تلگرام را نمایش می‌دهد. هنگامی که قربانی این کد را با استفاده از برنامه تلفن همراه خود اسکن می‌کند، تلاش برای ورود قانونی به سرور مهاجم آغاز می‌شود.

ورود دستی: قربانی شماره تلفن خود و در صورت درخواست، رمز عبور یک بار مصرف (OTP) یا رمز عبور تأیید دو مرحله‌ای خود را وارد می‌کند. این ورودی‌ها بلافاصله به APIهای رسمی تلگرام منتقل می‌شوند.

این متد فراتر از سرقت رمز عبور ساده عمل می‌کند. قربانیان را فریب می‌دهد تا sessionهای معتبر و تحت کنترل مهاجم را مستقیماً در برنامه تلگرام تأیید کنند و به هکرها دسترسی کامل به حساب‌های کاربری را بدهند.

کلاهبرداری فیشینگ تلگرام

مرحله بحرانی حمله پس از ارائه اعتبارنامه توسط قربانی یا اسکن کد رخ می‌دهد. پروتکل‌های امنیتی تلگرام یک پیام سیستمی درون برنامه‌ای را روی تلفن قربانی فعال می‌کنند و از آنها می‌خواهند ورود جدید را تأیید کنند.

مهاجمان از مهندسی اجتماعی برای دستکاری در این مرحله استفاده می‌کنند. سایت فیشینگ پیام‌های گمراه‌کننده‌ای را نمایش می‌دهد و درخواست مجوز را به عنوان یک “security check” یا “verification process” معمول جلوه می‌دهد.

قربانی با این باور که حساب خود را ایمن می‌کند، روی «This is me» یا «Yes» در اعلان رسمی تلگرام کلیک می‌کند.

با تأیید این اعلان، قربانی ناخواسته دستگاه مهاجم را تأیید می‌کند. از آنجا که این session به طور قانونی توسط کاربر مجاز شده است، مهاجمان بدون نیاز به دور زدن رمزگذاری یا سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری، دسترسی کامل را به دست می‌آورند.

تجزیه و تحلیل فنی نشان می‌دهد که این یک متد بسیار سازمان‌یافته و مبتنی بر پیکربندی است. زیرساخت فیشینگ به صورت مرکزی مدیریت می‌شود و به مهاجمان اجازه می‌دهد دامنه‌های جدید را مستقر کنند.

تغییر مداوم به سمت سوءاستفاده از ویژگی‌های پلتفرم قانونی به عنوان یک عامل اصلی حمله است که دشواری تشخیص، پیشگیری و آگاهی کاربر را افزایش می‌دهد.

هنگامی که یک حساب کاربری به خطر می‌افتد، اغلب به عنوان سکوی پرتابی برای ارسال لینک‌های فیشینگ به مخاطبین مورد اعتماد قربانی استفاده می‌شود و گسترش کمپین را تقویت می‌کند.

این روش، یک تغییر خطرناک در تاکتیک‌های جرایم سایبری را برجسته می‌کند: سوءاستفاده از ویژگی‌های قانونی پلتفرم.

مهاجمان با مجبور کردن کاربر به انجام مرحله نهایی مجوز در برنامه معتبر تلگرام، بسیاری از تشخیص‌های امنیتی سنتی را دور می‌زنند.

وجود تنظیمات زبان چینی ساده‌شده در کد backend نشان‌دهنده پشتیبانی عمدی از چندزبانگی است که مهاجمان را قادر می‌سازد تا کاربران را در مناطق مختلف هدف قرار دهند.

به کاربران توصیه می‌شود نسبت به هرگونه «بررسی امنیتی» که پس از اسکن کدهای QR یا وارد کردن جزئیات در سایت‌های شخص ثالث ظاهر می‌شود، بسیار محتاط باشند. اگر درخواست درون‌برنامه‌ای برای تأیید جلسه جدیدی دریافت کردید که صریحاً خودتان آن را آغاز نکرده‌اید، فوراً آن را رد کنید.