2021-04-23 16:50:33
Недавно мы писали про фишинг TikTok, пришло время для Telegram, тем более и сайт как раз попался вполне интересный - https://telegram-auth.me.
Чем интересный? Прежде всего тем, что по сравнению с продаваемыми по 3 рубля кривыми поделками под TikTok, он выглядит весьма нетривиально: его функциональная часть скрывается от лишних глаз в контейнере LoginTelethon.vue, а обмен данными с Telegram ведется через API Telethon. Анализ кода показывает, что такой фишинговый сайт позволяет преодолевать в том числе и двухфакторную аутентификацию.
Но и без косяков, естественно, не обошлось. API ID злоумышленников прекрасно находится в теле контейнера, а это значит, что можно убить не только хостинг или домен этого сайта, но и соответствующий аккаунт разработчика (чем мы сейчас и занимаемся).
А если при получении API злодеи не сидели под VPN… Ну, там уже правоохранительные органы разберутся.
UPD. Спустя 3 минуты отреагировал CloudFlare, а спустя 5 часов сайт благополучно отошел в мир иной.
@In4security
6.1K viewsedited 13:50