Всем привет! Меня зовут Марзаганов Даниил. Я владелец сетки телеграм-каналов с аудиторией более миллиона подписчиков и веду свой блог про маркетинг. Сегодня я объединился вместе с одним крупным админом, который полностью подготовил этот материал и выложил его у себя на новом канале.
Этот материал выходит по причине того, что сейчас участилась кража аккаунтов и мы хотим помочь людям защитить себя.
Весь текст далее писал он: Перед тем как я начну, хочу сказать что я не наталкиваю и не призываю к тому чтобы воплотить данную схему в жизнь, а лишь делюсь тем как это происходит на самом деле и делюсь советами по безопасности, с данной статьи вы сможете подчеркнуть для себя многие моменты и обезопасить себя.
В этом году прокатилась волна скама в телеграме через стиллер, который ворует данные пользователей с их компьютера, под видом рекламным агентов и менеджеров , в большинстве они пишут текст среднего уровня и отправляют ссылку на скачивание видео, программы, на фейковых лендингах, которые создаются за 10$ с покупкой домена
В данной статье я расскажу
- Как обманывают админа и отправляют ему вирус для получения доступа к каналу
- Как получают доступ к аккаунту администратора в телеграме
- Как заходят в чужой аккаунт в телеграме без уведомлений
- О том как обезопасить себя от скамеров (Полезно не только админам телеграм каналов)
Что требуется мошеннику для кражи
- Софт для кражи данных или софт для удаленного управления компьютером
- Криптор (штука которая зашифровывает ваш файл дабы его не увидел антивирус)
- Аккаунт в телеграме и понимание как работают админы в нем
Шаг первый – покупка / регистрация аккаунт через активаторы
Шаг второй – заполнение аккаунта
под вид менеджера либо оставляет как есть, но для траста лучше заполняют все по максимуму и вписывают в био официальную почту сайта/программы, но делают ее по такому примеру: следите за буквами
Реальная
[email protected]
Фейк
- kasperskyI[email protected]
- kasr[email protected]
- kasperc[email protected]
- kasperskylad@gmail.com
- ko[email protected]
Шаг третий – покупают / скачивают софт для кражи или удаленного доступа
Шаг четвертый – Криптуют (скрытие от антивируса) , меняют расширение (doc,exe, scr, png, jpj), склеивают файлы(совмещают файлы) и получают готовый файл под наш шаблон.
В нашем случае это будет Dogovor.exe который закриптован (зашифрован от антивируса и соединен с doc) и далее склеен с
файлом dorovor_po_okazaniy_ysly.doc, чуть ниже вы это увидите.
Шаг пятый – находят жертву, рассказывать как ищут не буду, но для вас я делаю это все на двух виртуальных машинах и жертвой выступаю сам я.
Шаг шестой – Пишут жертвам, обсуждают условия, цену, места и только после этого втюхиваютто, что они хотят втюхать (В телеграм, на данный момент, впаривают проморолик с расширением .SCR, который является вирусом )
Шаг седьмой – После того как мошенник пообщался с жертвой, он скидывает файл, якобы это формальность все дела.
Шаг восьмой – Человек открывает файл и мы получаем вот это (Он открывает файл и получает действительно реальный договор, но вместе с этим он получает так же и мой файл который открывает вирус)
Шаг девятый – Скачивает портейбл версию телеграма и с лога жертвы отправляем файлы в портейбл телеграм
Шаг десятый – После мошенник открывает телеграм и видим вот это. Мошенник уже находится в Телеграм аккаунте жертвы
Причем нам не пришло уведомление от Телеграм о том, что кто-то зашел в аккаунт, которые обычно сразу рассылается
Какие возможности есть у мошенника
- Обмануть людей на рекламу – поменять описание канала
- Угнать канал получится в случае если ваш стиллер украл пароль от 2фа, который находится в текстовых документах на компьютере у жертвы где либо, либо бы как автозаполнение в браузере на web.telegram.org
- Угнать аккаунт с помощью вируса удаленного доступа, то есть мошенник дожидается пока жертва уходит или отходит от пк и угоняеь канал, либо ставит 2фа сам, но оставляет администратору доступ к каналу
- Выгрузить все переписки и использовать в качестве компромата ( интим, переписки и т.д )
Думаю на этом стоит закончить и перейти к моменту по безопасности админов
Безопасность
Что следует делать чтобы не остаться без канала, аккаунта и личных данных с
помощью данной схемы?
– Хранить пароли в менеджерах паролей по типу KepasssXS либо в аппаратном
кошельке Trezor имеется функция хранения паролей.
– Не переходить по странным ссылкам
– Не скачивать файлы от знакомых / не знакомых людей, даже если вы их
проверили и файл оказался чистыми на Virustotal, через день - два, он будет
грязным как правило.
– Поставить 2фа на телеграм и не хранить свои пароли в телефоне, заметках, на
рабочем столе, блокноте в архиве, а так же не клеить свои пароли на стикеры
рядом с монитором.
– Проверять контакты людей дабы не быть обманутыми и их реквезиты если они
изменились узнать почему они изменились и уточнить у своего комьюнити
админов что такое и почему.
– Использовать антивирус, как ни странно он обычно помогает в некоторых
случаях предотвратить открытие потенциального вируса.
– Не раскрывать свои персональные данные незнакомым людям и она показ
остальным, так как с помощью этих данных возможна ваша дискредитация.
– Не покупайте ворованные телеграм каналы, проверяйте владельцев через
Telemetr во вкладке контакты и уточняйте каким образом попал канал в руки
другого человека.
Используя данные правила, советы вы сможете себя обезопасить от действий мошенника и не остаться без гроша, а может и биткоинов :D
Спасибо еще раз каналу Scamer, который составил эту статью и прислал мне. А вас прошу поставить галочку вверх, чтобы о статье узнало как можно больше людей
Будто перевод прочитал. Не понятно, от чьего лица ведется повествование. Кто кого взламывает. В какой-то моент показалось, что это вы злоумышленника взломали. Лог -это журнал выполнения операций, а не данные сессии. Пихать логи в другой телеграмм бессмысленно, вы данные сессии пихаете.
Стоило еще упомянуть, что склеивание вредоноса с каким-либо документом сработает только тогда, когда в программе, обычно преднозначенной для открытия этого документа есть незакрытая уязвимость. Для примера на скриншоте жертве прислали .doc, так чтобы троян на машине жертвы запустился, должен быть установлен microsoft office, имеющий уязвимость, на которую нацеливался злоумышленник. Если офис обновлен, то скорее всего уязвимость уже закрыли и троян не запустится. Вывод: обновляйте софт и ОС, либо открывайте странные файлы в виртуалке, а еще надежнее - переходите на линукс.
Да, глаза от стиля изложения просто кровоточили. Но однко же, все это напомнило, что пока я занимаюсь херней на дядю, кто-то клепает "сетки кангалов" и живет на этом. (
В телеграме повествование ведется от первого лица, а тут переделали на третье лицо т.к vc может принять данный момент как призыв к действию. А касательно лог, вы правильно сказали, но я стал запутывать максимально читателя, думаю слишком много сложны терминов. По поводу doc, так же правы, можно переделать в картинку и сбрасывать как чек. А касательно доков, данная уязвимость работает лишь до 16 года с офисами.
Мне кажется достаточно было применения терминов "жертва" и "злоумышленник", чтобы расставить акценты и показать кто есть кто. Ну и текст перечитывать перед публикацией тоже полезно ;) А еще круче - предварительно давать читать текст кому-нибудь другому с незамыленным глазом
Текст в телеграме исправлялся раз 5, тут он выложился после 2 раза)
"Криптуют (скрытие от антивируса) , меняют расширение (doc,exe, scr, png, jpj), склеивают файлы(совмещают файлы) и получают готовый файл под наш шаблон."
Я не пойму, как можно склеить два файла, чтобы он открывался как ворд, но при этом и exe выполнялся?
Комментарий недоступен
Это называется "дроппер", когда из не исполняемого файла (excel, word, etc) запускается exe, wsf, sh и тому подобное
Комментарий недоступен
Не все пользуются офисом 365 )))
Откуда такая уверенность
Комментарий недоступен
ЯсноПонятно
Мне кажется хороший вариант — это не вести общение с клиентами с аккаунта владельца канала или вообще создавать каналы с отдельного аккаунта, а на личный давать права редактора, так при потенциальном взломе точно ничего не получится угнать
Так и делают, создают каналы на одном аккаунте и номере, который нигде не светят, а ведут переписку и посты выкладывают с другого
Комментарий недоступен
"Этот материал выходит по причине того, что сейчас участилась кража аккаунтов и мы хотим помочь людям защитить себя" – после таких заявлений, круто бы ссылку на источник, который подтвердит, что в ноября участилась кража аккаунтов. А то выглядит так, что вам нужно было прорекламировать канал на vc, вы решили написать про безопасность, в последний момент вспомнили, что обязательно нужен инфоповод (на самом деле нет) и натянули сову на глобус
Лол.. На днях Реддит увели, это одно из самых громких. А так - зайдите в админский чат любой и спросите)
Из того, что увели Реддит не следует, что "участилась кража аккаунтов". Вот если в октябре увели 10 тысяч, а в ноябре уже 20 тысяч – тогда можно говорить о наличии тенденции. Фирштейн?
Я рад таким комментарием, хоть на них отвечать и не люблю, но за то ты в топ помогаешь попасть)
Потрясающее «уважение» к аудитории и коллегам!
"реквезиты", "она показ" 😆
Интересно, какой процент совпадения такого тепличного способа с реальностью.
Почему нет совета не использовать windows?)
процент мне кажется большой. админы(каналов, не сисадмины) не айтишники же. сидят на винде и все на этой же винде и телеграм и онлайн банки и все соцсети. и все на нее качают и на ней же запускают.
люди кто разбирается в теме у них криптовалюты будут отдельно на ноуте, онлайн банки на отдельном, а инет для себя полазить будет вообще на третьем.
тогда схема через чур муторна. торрентик свеженькой игрули и профит
да я думаю такому просто ссылку на троян кинь в телегу и он его поставит сам, торрент даже не надо.
– Хранить пароли в менеджерах паролей по типу KepasssXS либо в аппаратном кошельке Trezor имеется функция хранения паролей.
так и просится в скам ссылку, авторы сразу материала на вторую часть статьи соберут)
какхахкхакахк
UAC выставить на максимум, чтобы пищал при запуске любого бинарника и не давал его запустить без действий пользователя.
И вообще, первое правило - не сидеть под учеткой с привилегиями локального администратора. Хоть рекомендация к теме статьи напрямую и не относится, но сильно портит жизнь вредоносам и их создателям.
Бесполезное правило, на самом деле:
* все пользовательские данные доступны самому пользователю / софту, выполняющегося от его имени
* захват экрана / пользовательского ввода тоже админских прав не требует;
* порт слушающий не открыть по умолчанию, но всегда можно сделать бэк-коннект к C&C серверу
Три пункта выше покрывают все практические задачи вируса — получить доступ к пользовательским данным и как-то его монетизировать(например, украсть данные аккаунтов / карточек или зашифровать пользовательские файлы и потребовать денег за восстановление).
"Этот материал выходит по причине того", что сеть телеграм-каналов необходимо рекламировать, чтобы поток подписчиков не иссякал.
В точку 😁
Эта схема не работает если вести переписку с айфона, макбука, убунты и т.п.
И еще, если вас обманули и заставили запустить свой софт, то вас не спасут программы для хранения паролей. Потому что в какой-то момент произойдет дешифрация нужного пароля и в этот момент его перехватят. Например тогда когда он попадет в буфер обмена.
Комментарий недоступен
Первый и единственный совет не использовать windows!
Это вы, именно как айти-админ можете сидеть хоть на freebsd, но люди, которых вы нанимаете (админ-каналов именно), как правильно сказали выше уже, сидят на виндах. Поэтому этот совет столь же полезен, как и бесполезен 😁
Да я разработчик, но кто вам мешает купить мак, по всем показателям он удобнее и практичней. А если нет денег на мак, то и канал не особо уенный 🙂
При таких атаках - поставить убунту и из под нее работать. exe файлы там не запустят так просто. Можно наверное попробовать поставить виртуалбокс и там открывать присылаемое, но оно сложнее чем дуалбут(винда+линух на одном компе).
Разделять ОС для работы и ОС для отдыха итп.
Если не хочется заниматься вопросом как поставить дуалбут - то нанять на youdo или фриланс сайте каком - там дело на час в худшем случае.
Действительно универсальный совет, а еще можно скачать Аваст, виртуалбокс, wmware и запускать там все это, а не ебаться с фрилансерами и пытаться вставлять палки себе в колеса.
запускать в Аваст, что?
а не ебаться с фрилансераминастроить нормально виртуалбокс тяжелее чем поставить систему.
вы не тех фрилансеров вызываете)
Да и потратиться 1 раз(5к от силы наверное) чтобы потом оно нормально всегда работало для акков в 1 млн пользователей - стоит того
Комментарий удален модератором
Здрасти ребят, я попал в аналогичную ситуацию как в этой статье. У меня украли 4 огромных канала. Расскажите пожалуйста как избавиться от этого вируса. Мне его закинули в формате scr. Что нужно сделать??? И как восстановить доступ к моим каналам. Прошу ваас, помогите
Телеграм канал развод
https://t.me/dava_m_buzova86
Осторожно,новый а может и старый развод в телеграмме.
Товарищи берут деньги, якобы возвращают больше.
Но на самом деле, деньги уходят на счет некоему
Владиславу Александровичу Б.
сбербанк
4276 6000 4329 1869
И прикол в другом, что видимо Бузова даже же не знает,что финансирует пираммиду....
П если модератор , или тез поддержка кто из там разберёт продают доступы заинтерисованным лицам? ВК этим грешит и очень. Постоянные были попытки взлома моих страниц. Причем гонялись лично за моей персоной. Связаться с техподдержкой было нереально, в плане или нахер, не звезда! И все в таком духе. Потом блокировали мою страницу требуя ну например деньги или фото интимного содержания за возврат доступа к странице. Меняли мои пароли. А месяц назад заблокировали за якобы призыв убивать детей. И никак теперь нельзя получить доступ хотя что бы забрать мои фотографии. Ещё был способ закинули вирус ... Я завела другую страницу, я фотохудожник и использовала ВК как хранилище своих работ, музыки треков которые пишу и литературные произведения, новый номер телефона не дали завести типо уже такой есть. Завела на старый. Через четыре года стали писать что две страницы на один номер нельзя! Я пишу что новый номер не принимает пишет что уже есть, только что купленный. Не слышит этот сраный Модер. Или кто там. В общем ВК это помойка, где нарушают агрессивно права русских . !