Исследование

Рынок фишинга в Telegram

Telegram год за годом набирает популярность у пользователей по всему миру. Однако удобную функциональность мессенджера оценили не только рядовые пользователи, но и онлайн-мошенники, которые сделали его новым филиалом даркнета: с конца 2021 года их активность в Telegram значительно выросла.

Особым спросом мессенджер пользуется у создателей фишинга. Они умело применяют возможности мессенджера как для автоматизации своей деятельности, так и для предоставления различных услуг всем заинтересованным: от продажи фиш-китов (готовых наборов для создания фишинговых страниц) до помощи в подготовке персонализированных фишинговых кампаний.

Для продвижения своего «товара» фишеры заводят Telegram-каналы, в которых в формате блога рассказывают аудитории о «фишках» в создании фишинга и развлекают подписчиков опросами в стиле «какой вид персональных данных вы предпочитаете?». Ссылки на каналы они распространяют через YouTube, GitHub, a также вместе с фиш-китами, которые они создали.

В этой статье мы расскажем о разнообразии фишинговых услуг в мессенджере, их нюансах и ценах, а также об особенностях детектирования фишингового контента родом из Telegram.

Ассортимент черного рынка в Telegram

Проанализировав обнаруженные Telegram-каналы создателей фишинга, мы разделили услуги, которые они продвигают, на платные и бесплатные.

Бесплатные материалы для начинающих фишеров

Автоматическое создание фишинга в Telegram-ботах

Боты в Telegram, благодаря своим гибким функциям, помогают пользователям и бизнесу в автоматизации многих рутинных процессов, таких как поиск и получение какой-либо информации на регулярной основе, ответы на часто задаваемые вопросы клиентов, настройка напоминаний и многое другое. В свою очередь, злоумышленники автоматизируют с помощью Telegram-ботов незаконную деятельность, например создание фишинговых страниц и сбор пользовательских данных.

Создание поддельных сайтов в Telegram-боте обычно состоит из следующих этапов.

  1. Начинающий мошенник подписывается на канал создателя бота.

  2. Как правило, после начала работы бот предлагает выбрать желаемый язык. В примере ниже общаться с ботом можно на арабском и английском языках.

    Запуск Telegram-бота по созданию фишинга

    Запуск Telegram-бота по созданию фишинга

  3. Бот предлагает фишеру создать свой собственный бот и прислать его токен в основной бот. Новый бот создается для того, чтобы получать данные пользователей, которые перешли по фишинговым ссылкам и попытались авторизоваться на поддельном сайте. Хотя создать новый бот начинающий злоумышленник должен самостоятельно, этот процесс в Telegram тоже автоматизирован и не представляет особой сложности.

    Фишинг-бот просит злоумышленника создать свой собственный бот и прислать его токен

    Фишинг-бот просит злоумышленника создать свой собственный бот и прислать его токен

  4. Получив токен нового бота, фишинг-бот генерирует множество ссылок на поддельные сайты на одном домене. Сайты могут имитировать онлайн-игры, социальные сети и прочие сервисы — PUBG, Facebook, PayPal и т. д.

    Список готовых фишинговых страниц на одном домене

    Список готовых фишинговых страниц на одном домене

Распространением ссылок начинающий фишер занимается уже без помощи бота. Если же пользователь введет свои учетные данные на поддельной странице, уведомление об этом придет в чат с ботом, которого злоумышленник создал в процессе генерации ссылок. Как правило, такое уведомление содержит информацию о фишинговой ссылке, собственно учетные данные жертвы, а также страну логина, код страны и IP-адрес устройства, с которого пытались войти в аккаунт.

Поступившее фишеру сообщение с украденными данными

Поступившее фишеру сообщение с украденными данными

Боты, генерирующие фишинговые страницы, могут незначительно различаться. Например, в одном боте перед созданием ссылок предлагается выбрать желаемый сервис из списка, а затем ввести URL-адрес страницы, куда пользователя перенаправляют после попытки авторизации. Чаще всего это стартовая страница Google или главная страница сайта, под который маскируются злоумышленники. После ввода URL бот генерирует несколько ссылок с мошенническим контентом, нацеленных на пользователей выбранного сервиса. Учетные данные жертв в этом случае направляются напрямую в фишинговый бот.

Список сервисов, предлагаемый ботом

Список сервисов, предлагаемый ботом

Что же собой представляют поддельные страницы, создаваемые таким легким способом? Перейдя по ссылке, обещающей, например, бесплатные 1000 лайков в TikTok, жертва увидит похожую на оригинал форму авторизации. Кроме этой формы на странице обычно ничего нет. Так, «логин и пароль» в форму на скриншоте ниже мы подставили самостоятельно.

Поддельная страница входа в TikTok, созданная через фишинг-бот

Поддельная страница входа в TikTok, созданная через фишинг-бот

С технической точки зрения это весьма примитивный плод простого фиш-кита. Когда злоумышленник запрашивает фишинговые страницы у Telegram-бота, тот передает запрос и все необходимые данные утилите, которая собирает страницы из готовых наборов и возвращает боту ссылки. Для отправки собранных данных в фиш-китах есть специальный скрипт: в него подставляется токен бота, собирающего логины и пароли, а также идентификатор чата с ботом в Telegram и URL-адрес для перенаправления пользователя после ввода учетных данных. Последний встречается не во всех подобных скриптах.

Скрипт для отправки данных жертвы в Telegram-бот

Скрипт для отправки данных жертвы в Telegram-бот

Стоит отметить, что ничто не мешает создателям фишинга с помощью такого же скрипта настроить отправку данных, добытых новичками, также и себе лично.

Бесплатные фиш-киты и персональные данные пользователей

Часто в Telegram-каналах мошенников можно встретить на первый взгляд весьма щедрые предложения. Например, архивы с готовыми фиш-китами, нацеленные на множество международных и региональных брендов.

Архив с фиш-китами, выложенный в Telegram-канале мошенников

Архив с фиш-китами, выложенный в Telegram-канале мошенников

Содержание бесплатного архива с фиш-китами

Содержание бесплатного архива с фиш-китами

Помимо этого, фишеры делятся с подписчиками и добытыми с помощью фишинга персональными данными жертв, указывая, проверены они или нет. Yellow light data на скриншоте ниже означает, что качество данных неизвестно. Вероятно, это отсылка к желтому сигналу светофора.

Файлы с бесплатными учетными данными пользователей из США и России

Файлы с бесплатными учетными данными пользователей из США и России

Но с чего вдруг мошенникам быть столь щедрыми и делиться ценными данными с другими, вместо того чтобы использовать их самостоятельно? С одной стороны, все бесплатные материалы и инструкции, которые мошенники так охотно раздают своей Telegram-аудитории, служат своего рода приманкой для менее опытных фишеров. Они дают возможность ознакомиться с различными фишинговыми инструментами, извлечь для себя первую выгоду и захотеть большего, для чего им можно предложить уже платные услуги.

С другой стороны, мошенники таким образом могут набирать себе бесплатную рабочую силу. Ведь, как мы уже упоминали выше, создатели фишинг-ботов и фиш-китов могут получать все данные, собранные с помощью этих инструментов. Для привлечения большей аудитории злоумышленники рекламируют свои услуги и обещают научить зарабатывать с помощью фишинга большие деньги.

Реклама Telegram-канала с материалами по фишингу

Реклама Telegram-канала с материалами по фишингу

Платные предложения для фишеров в Telegram

Помимо бесплатных фиш-китов и автоматизированного создания фишинга через Telegram-боты, мошенники предлагают в мессенджере платные товары, а также сервисы в рамках модели «фишинг как услуга» (phishing-as-a-service). В такой сервис может входить не только доступ к фишинговым инструментам, но и инструкции для начинающих мошенников и техническая поддержка.

Платные фишинговые и скам-страницы

Злоумышленники продают скам- и фишинговые «VIP-страницы». Это уже не примитивные копии сайтов известных брендов, а созданные «с нуля» страницы с более широким спектром возможностей или же инструменты для генерации таких страниц. Например, на VIP-странице могут присутствовать элементы социальной инженерии, такие как привлекательный дизайн и обещания крупного выигрыша, защита от обнаружения и т. д.

Скам-страницы, выставленные на продажу в Telegram

Скам-страницы, выставленные на продажу в Telegram

На скриншоте ниже продавец обещает, что каждый «проект» оснащен антибот-системой, шифрованием URL-адресов, блокировкой по географическому принципу и другими полезными с точки зрения злоумышленников функциями. Также он готов собрать фишинговую страницу с любой функциональностью на заказ.

Информация от продавца фишинга о дополнительных функциях на рекламируемых страницах

Информация от продавца фишинга о дополнительных функциях на рекламируемых страницах

Подробно изучив такие предложения, мы обнаружили, что в них действительно содержатся скрипты для блокировки ботов поисковиков и антифишинговых технологий. Из этого можно сделать вывод, что такие проекты — не что иное, как сложные или продвинутые фиш-киты.

Содержание архива фиш-кита с антибот-системой

Содержание архива фиш-кита с антибот-системой

При этом мошенники в рамках оказания платных услуг регулярно обновляют свои антибот-системы, чтобы избежать обнаружения и поддерживать фишинговый контент в «живом» состоянии.

Продавец фишинга сообщает, что антибот-система была обновлена

Продавец фишинга сообщает, что антибот-система была обновлена

Цены на подобные поддельные страницы довольно разные. Кто-то просит $10 за экземпляр, кто-то отдаст архив с несколькими страницами за $50, а если в комплект входят нестандартные функции, например протокол безопасных онлайн-платежей 3-D Secure и помощь в настройке поддельного сайта, он может стоить и около $300.

Скам-страница с протоколом 3-D Secure выставлена на продажу за $280

Скам-страница с протоколом 3-D Secure выставлена на продажу за $280

Платные персональные данные пользователей

Часто на продажу также выставляются данные банковских аккаунтов, добытые с помощью фишинга. В отличие от бесплатных данных, о которых шла речь выше, платные данные проверены с точностью до суммы на счете пользователя. От этой суммы обычно зависит и стоимость доступа к аккаунту.

Например, в одном и том же канале за доступ к банковскому аккаунту с балансом $1400 владельцы просят заплатить $110, а учетные данные от аккаунта с балансом $49 000 выставили за $700.

Продажа доступа к банковскому аккаунту с балансом $1400

Продажа доступа к банковскому аккаунту с балансом $1400

Продажа доступа к банковскому аккаунту с балансом $49 000

Продажа доступа к банковскому аккаунту с балансом $49 000

Фишинг по подписке (phishing-as-a-service)

Кроме разовых продаж фишинговых наборов и пользовательских данных, мошенники предлагают в Telegram систему подписок, в рамках которой предоставляют поддержку своим клиентам. В частности, обновляют фишинговые инструменты, защиту от обнаружения и ссылки, которые генерируют фиш-киты.

Помимо фиш-китов по подписке можно получить, например, OTP-бот (от One-Time-Password — одноразовый пароль). Легитимные сервисы используют такие одноразовые пароли в рамках двухфакторной аутентификации. С помощью OTP-ботов фишеры пытаются ее обойти, ведь на данный момент 2FA использует множество организаций, и для угона аккаунтов зачастую недостаточно заполучить логин и пароль.

OTP-боты звонят пользователям от имени организаций, аккаунт в системе которых злоумышленники пытаются взломать, и убеждают ввести на клавиатуре телефона код двухфакторной аутентификации. Звонки при этом полностью автоматизированы. Получив код, бот вводит его в нужное поле, и злоумышленник получает доступ к аккаунту.

Список функций и преимуществ OTP-бота

Список функций и преимуществ OTP-бота

Пообщавшись с продавцом одного из таких ботов, мы узнали его стоимость: неделя подписки с безграничным количеством звонков обойдется начинающим мошенникам в $130, а месяц обслуживания с кастомной настройкой бота — в целых $500.

Переписка с продавцом фишинга на тему стоимости OTP-бота

Переписка с продавцом фишинга на тему стоимости OTP-бота

Другой OTP-бот оплачивается поминутно: перед началом работы злоумышленник пополняет баланс, а затем с него списываются деньги — от $0,15 за минуту звонка (точная стоимость зависит от того, в какую страну звонят). Бот позволяет записывать звонок и запоминать настройки, в том числе введенные в бот данные жертвы — номер телефона, имя и т. д.

Интерфейс OTP-бота: для настройки звонка нужно указать имя и номер телефона жертвы, название сервиса и язык

Интерфейс OTP-бота: для настройки звонка нужно указать имя и номер телефона жертвы, название сервиса и язык

Если клиент поделится с создателями бота этой информацией, а также скриншотами взломанного аккаунта, на которых виден номер счета жертвы, остаток средств и т. д., он может получить бонус в виде зачисления небольшой суммы на баланс OTP-бота: $5 за две единицы информации и $10 за три и больше.

Некоторые продавцы фишинга заботятся о доверии своей клиентуры. Так, на скриншоте ниже злоумышленники, предоставляющие фишинговые услуги, обещают клиентам, что все данные, полученные с помощью оплаченных инструментов, надежно шифруются, поэтому ни третьи лица, ни сам поставщик сервиса не могут их видеть. Все, что требуется продавцам, это лояльность их покупателей.

Продавец фишинга объясняет своим клиентам, что все их данные надежно зашифрованы

Продавец фишинга объясняет своим клиентам, что все их данные надежно зашифрованы

Особенности детектирования и статистика

Несмотря на многочисленные способы избежать блокировки, которые используют фишеры, продающие свои услуги в Telegram, наши решения обнаруживают подобные поддельные сайты с предельной точностью и заносят их в свои базы.

Вредоносные сайты из фишинг-ботов либо расположены на одном домене, либо имеют общие элементы HTML-кода, либо и то и другое. Благодаря этому выявлять их нашими технологиями детектирования веб-угроз не составляет большого труда.

Например, в рассмотренном ранее примере создания фишинга с помощью бота использовался один и тот же домен для поддельных сайтов различных организаций и сервисов. В общей сложности за время существования этого домена мы зафиксировали 1483 попытки перехода на расположенные на нем страницы.

Статистика срабатываний антифишинговых технологий «Лаборатории Касперского» на домене из фишинг-бота с декабря 2022 г. по март 2023 г. (скачать)

Поскольку многие из продаваемых в Telegram готовых фишинговых решений — это простые и сложные фиш-киты, приведем статистику их детектирования. За последние 6 месяцев наши технологии обнаружили 2,5 миллиона уникальных фишинговых URL-адресов, созданных с помощью фиш-китов.

Количество обнаруженных уникальных URL-адресов, созданных с помощью фиш-китов, с октября 2022 г. по март 2023 г. (скачать)

За этот же период удалось предотвратить 7,1 миллиона попыток пользователей перейти на подобные вредоносные сайты.

Статистика срабатываний антифишинговых технологий «Лаборатории Касперского» на страницах, созданных с помощью фиш-китов, с октября 2022 г. по март 2023 г. (скачать)

Выводы

Раньше, чтобы сделать свои первые шаги на поприще фишинга, начинающим мошенникам нужно было проложить себе путь в даркнет, изучать форумы и т. д. С переходом злоумышленников на Telegram порог вхождения в фишинговое сообщество снизился, ведь создатели фишингового контента делятся своими наработками и знаниями прямо в популярном мессенджере, причем как за деньги, так и бесплатно.

Для самых ленивых и стесненных в средствах владельцы тематических каналов предлагают создавать фишинговые страницы через Telegram-боты и в боты же получать украденные у жертв данные. Также некоторые злоумышленники выкладывают архивы с данными для общего пользования. Если же начинающий фишер хочет генерировать более разнообразный контент, он может скачать фиш-киты, нацеленные на множество организаций.

За счет всевозможных бесплатных предложений мошенники продвигают свои платные услуги. Кроме того, они, скорее всего, используют новичков в своих целях, ведь добытые с помощью фиш-китов и ботов персональные данные могут получать и создатели этих инструментов.

Наиболее платежеспособной аудитории мошенники предоставляют платные фишинговые страницы с функцией географической блокировки и регулярно обновляемыми антибот-системами, которые сложнее обнаружить, чем страницы, сгенерированные простыми фиш-китами и фишинговыми ботами. Цены на подобный контент могут составлять от $10 до $300 и зависеть от набора функций. Также фишеры продают украденные учетные данные от банковских аккаунтов и подписки на OTP-боты, с помощью которых можно обойти двухфакторную аутентификацию.

Подробно изучив предложения продавцов фишинга в Telegram, можно прийти к выводу, что большинство их ассортимента составляют фиш-киты, которые наши технологии успешно блокируют, — за последние полгода мы обнаружили 2,5 миллиона страниц, созданных с помощью фиш-китов.

Рынок фишинга в Telegram

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике