2023-01-12 14:34:09
Сегодня по различным каналам разошлось сообщение о том, что злоумышленники угоняют аккаунты под предлогом ознакомления со «Списком людей, которые будут мобилизованы 1-3 февраля». И это действительно так. Мы зафиксировали массовую рассылку вредоносных сообщений подобного содержания. К рассылаемым сообщениям прилагается ссылка, по которой мы просто не могли не перейти.
И каково же было наше удивление, когда после череды редиректов мы попали на хорошо знакомый нам сайт https://konkurs-golos.ltd, который засветился в нашей статье про взлом аккаунтов под видом голосования за лучший детский рисунок.
Этот пример отлично демонстрирует то, зачем нужны такие многоступенчатые схемы с переадресациями и размещением фишинговой формы ввода логина-пароля на стороннем ресурсе. Домены с рисунками давно заблокированы, а вот сайт для ввода логина продолжает действовать и редирект на него осуществляется уже с других ресурсов, в нынешнем случае – из сообщений в Telegram. Если же заблокировать сайт https://konkurs-golos.ltd, то он будет моментально заменен на другой, а ссылки из разосланных сообщений менять не придется – они продолжат работать за счет промежуточной переадресации.
Пожалуй, это самая массовая фишинговая атака на российских Telegram-пользователей за все время существования мессенджера. Предыдущие носили куда более локальный характер и были намного проще организованы в техническом отношении.
2.4K viewsedited 11:34