Кодовая злоба: мошенники утроили активность по угону Telegram-аккаунтов
Во втором полугодии 2025-го число фишинговых страниц, ссылки на которые распространяют мошенники в личных обращениях и в популярных пабликах в Telegram, выросло до 62 тыс., подсчитали компании по кибербезопасности. При этом если до конца июня было выявлено около 20 тыс. таких ресурсов, то к ноябрю общее количество утроилось. В основном злоумышленники маскируют такие ссылки в комментариях с сообщениями о розыгрышах платной подписки на Telegram. О том, какие еще схемы сейчас активно используются в этом мессенджере, — в материале «Известий».
Как пытаются взламывать аккаунты
За первое полугодие 2025-го было выявлено более 20 тыс. мошеннических доменов, нацеленных на кражу аккаунтов в Telegram, сообщили BI.ZONE Digital Risk Protection. Однако с III квартала злоумышленники стали еще активнее: с июля по ноябрь зафиксировано еще 42 тыс. таких ресурсов. Пик активности пришелся на июль: тогда было обнаружено более 11 тыс. доменов. Таким образом, общее количество фишинговых страниц, ссылки на которые распространяют мошенники, утроилось.
— Вероятно, такой стремительный рост связан с популяризацией «Звезд» — внутренней валюты Telegram, а также криптовалюты Toncoin, — пояснили там. — С июля в мессенджере расширились возможности для операций этими способами. С тех пор пользователи все активнее используют «Звезды» и Toncoin, а злоумышленники стремятся получить доступ к кошелькам и украсть деньги.
Интерес мошенников к взлому аккаунтов в Telegram значительно вырос, подтвердил аналитик данных Координационного центра доменов .RU/.РФ Евгений Панков.
— В рамках проекта «Доменный патруль» с января по октябрь этого года в зонах .RU и .РФ выявлено и заблокировано более 5,8 тыс. доменов, связанных с попытками компрометации Telegram-аккаунтов, — сказал он. — Это в 2,5 раза больше, чем за аналогичный период 2024-го. И активность злоумышленников в этом мессенджере продолжает расти.
Главная цель злоумышленников при взломе аккаунтов — доступ к контактам, переписке и личным фотографиям пользователей, отметил Евгений Панков. Это дает им возможность рассылать фишинговые ссылки от имени жертвы, заниматься вымогательством и совершать другие противоправные действия.
Зачем воруют аккаунты в Telegram
Одна из задач мошенников — охватить как можно больше потенциальных жертв, чтобы похитить их аккаунты в Telegram, отметил руководитель BI.ZONE Digital Risk Protection Дмитрий Кирюшкин.
— Например, злоумышленники оставляют комментарии в популярных каналах с сообщениями о розыгрышах платной подписки, — сказал он. — Чтобы участвовать, нужно авторизоваться от имени своего аккаунта. Так пользователь может потерять доступ к мессенджеру и даже лишиться денег.
«Известия» изучили десятки популярных Telegram-каналов. В комментариях практически к каждому посту анонимные пользователи оставляют подобные предложения.
Кроме того, мошенники размещают сообщения от имени «счастливого обладателя выигрыша». Такие «пользователи» утверждают, что получили крупный приз на сайте с розыгрышами от интернет-магазинов, и прикладывают ссылку на фишинговый ресурс.
Всего эксперты обнаружили более 4,5 тыс. таких сообщений на площадках в Telegram. Их охват составил свыше 74 млн человек, рассказал Дмитрий Кирюшкин.
Среди популярных легенд, под которыми действуют мошенники, — поддельные страницы службы поддержки Telegram, различные голосования, сообщения о выплатах к праздникам, скидках и распродажах в популярных магазинах и маркетплейсах, напомнил Евгений Панков.
Другая актуальная схема выглядит следующим образом: пользователю приходит сообщение о том, что ему якобы отправили подарок — годовую премиум-подписку в Telegram. Активировать «подарок» предлагается по ссылке. Однако если навести на нее курсор или зажать, то можно увидеть, что это текст, в который «зашита» фишинговая ссылка.
Если пользователь всё же перейдет по ней, он окажется на поддельной странице, где его попросят верифицировать свой аккаунт, рассказала старший контент-аналитик «Лаборатории Касперского» Ольга Алтухова.
— Далее на этой фишинговой странице от человека потребуют авторизацию: ввод номера телефона и кода подтверждения, — пояснила она.
На увеличение числа атак через Telegram влияет как его высокая популярность, так и сезонные факторы: летние отпуска, начало учебного года, традиционные осенние распродажи, отметил Евгений Панков.
— Грядущие новогодние праздники и длинные каникулы также не станут исключением: в это время пользователи чаще совершают онлайн-покупки и переходят по фишинговым ссылкам, теряя бдительность, — добавил он.
Как действовать при угоне аккаунта
Фишинговые ресурсы, маскирующиеся под официальные сервисы Telegram, стали основным трендом 2024–2025 годов, подтвердили опрошенные юристы.
— Одной из наиболее распространенных схем стало навязывание срочного подтверждения номера, — рассказала начальник юридического департамента «ВМТ Консалт» Софья Лукинова. — Пользователю присылают сообщение, будто его сим-карта якобы зарегистрирована в другом регионе или кто-то вместо него пытается войти в Telegram.
После этого предлагают перейти по ссылке и обновить данные, но на самом деле это форма для перехвата кода из SMS. В ряде случаев мошенники пытаются не только получить доступ к аккаунту, но и «угнать» номер телефона с последующим перевыпуском сим-карты, чтобы закрепить контроль над всеми сервисами жертвы.
Второй частой схемой остаются поддельные админ-боты. Злоумышленник пишет пользователю от имени службы безопасности Telegram, утверждает, что аккаунт нарушил правила, и просит пройти верификацию.
— Третье направление: фейки-дубликаты известных каналов, — добавила она. — Мошенники вручную копируют оформление и контент, после чего под видом администратора начинают рассылать подписчикам ссылки для, к примеру, бонусов или расширенного доступа. Это массовая схема, на которую стало поступать заметно больше обращений во втором полугодии.
После атаки как можно скорее необходимо зафиксировать факт мошенничества: сделать скриншоты, сохранить ссылки, сообщения, переписку — это пригодится для квалификации инцидента, посоветовала Софья Лукинова.
— Следует немедленно обратиться к оператору связи, если есть риск «угона» номера, и заблокировать сим-карту. Подать заявление в полицию. Мошенничество, даже в цифровой форме, — уголовно наказуемое деяние, и заявление принимают независимо от суммы ущерба, — сказала она.
В полицию подается заявление о мошенничестве или неправомерном доступе к компьютерной информации, рассказала адвокат Екатерина Александрович.
— Следует обратиться в банк и к оператору связи с заявлением о несанкционированных списаниях и спорных операциях и требовании о возврате средств и блокировке операций, — сказала она. — Но если была только попытка фишинга, вы вовремя все заблокировали и ничего не утрачено, можно сначала ограничиться техническими мерами и заявлением в поддержку. Но сохраните доказательства — при появлении ущерба обращение в полицию по ним упростится.
Чтобы защититься от компрометации аккаунтов в мессенджере, следует включить двухфакторную аутентификацию и быть внимательнее при переходе по ссылкам, полученным от знакомых и незнакомых контактов, добавил руководитель департамента киберразведки «Бастион» Константин Ларин. Кроме того, стоит проверять браузерную строку на соответствие доменного имени и не следует устанавливать мобильные приложения из сомнительных источников.
