Как Телеграм из мессенджера стал экосистемой для киберпреступников

Привет! Мы команда Ресурса. Вы наверняка читали наши исследования о потребительском поведении и рыночных трендах. Но мы не только про это, мы также любим посмотреть на привычные явления и инструменты под неожиданным углом.

Недавно нам на глаза попалось исследование KELA про то, как Телеграм стал площадкой для киберпреступников. Да-да, тот самый Телеграм, где мы ежедневно общаемся с друзьями, создаем чаты с коллегами и обмениваемся милыми стикерами.

Сейчас всё расскажем.

На самом деле, во многом просто потому, что это — удобное место для коммуникации. Аккаунты и каналы преступников часто рекламируются на разных площадках.

Сами преступники могут создавать чаты и каналы, где обмениваются информацией, делятся опытом и организовывают сотрудничество.

Телеграм используют для распространения вредоносных инструментов, таких как, трояны или системы для кражи паролей. А еще для передачи украденных данных или вербовки новых преступников.

Также хакерам помогает система шифрования в секретных чатах Телеграма. Их сообщения не могут прочитать третьи лица: только отправитель и получатель.

Кроме того, в Телеграме можно зарегистрироваться анонимно: без подтверждения личности и даже номера телефона. Можно использовать «левые» сим-карты, иностранные номера и выдуманные имена — правоохранительным органам будет очень сложно установить, кто реально владеет аккаунтом. Помимо этого, в Телеграме можно использовать несколько аккаунтов и легко переключаться между ними — это тоже не делает жизнь полиции проще.

Телеграм утверждал, что никогда не передавал данные пользователей государственным органам, но на самом деле такой прецедент уже был в Германии. Вопрос о том, должна ли модерация в мессенджере стать более жесткой, остается дискуссионным.

Группы и каналы в Телеграме легко найти: просто вбил нужные слова в поиск и готово. Сделать это в поисковиках сложнее: они не выводят в результаты поиска слова, которые могут быть связаны с криминалом.

В чатах и каналах распространяются как личные, так и корпоративные данные:

— адреса,

— имена,

— номера телефонов,

— почтовые адреса,

— данные банковских карт и счетов,

— дата рождения.

В 2022 году стало понятно, что в Телеграме столько же данных, сколько на киберпреступных форумах и рынках.

Украденные пароли и имена пользователей продаются на каждом шагу. Чаще всего данные крадут у сервисов по доставке еды, стримингов, банков и социальных сетей.

Некоторые каналы не продают данные, а просто выкладывают их в открытом доступе. Вот, например, просто огромная база, доступная для прямого скачивания:

Есть немало каналов, которые очень популярны в Телеграме. Там преступники спокойно анонсируют новые «сливы», рассказывают о своих планах и делятся информацией.

Тут схема такая: преступники взламывают компьютеры и крадут данные: иногда с помощью специальных программ, иногда — на заказ.

Что входит в украденные данные:

— учетные данные пользователя для входа в систему,

— историю посещенных страниц,

— файлы cookie,

— токены аутентификации,

— информацию о компьютере пользователя.

С помощью этих данных можно попасть в закрытые системы организаций и разворачивать там вредоносное ПО.

В последнее время популярными стали «данные по подписке». Преступники собирают данные у себя в «облаке» и продают туда доступ за ежемесячную абонентскую плату. Телеграм стал одной из таких платформ благодаря способности хранить большое количество данных.

Чтобы показать, что информация очень ценная продавцы ограничивают количество тех, кто может получить доступ к «облаку». Это также позволяет им повышать цену на доступ.

Для примера: 90 000 «логов» продают по подписке 250 долларов в месяц.

Преступники часто используют «логи», чтобы получить доступ к данным корпораций: такое уже случалось с Убером, T-Mobile и Electronic Arts. Это дополнительно увеличивает количество жертв.

Для начала расскажем, какие вообще финансовые махинации испольщуют:

— Подключаются к pos-терминалам и крадут данные о кредитных и дебетовых картах;

— Фишинг, то есть распространение вредоносных ссылок, чтобы украсть деньги;

— Отмывание денег, то есть попытка скрыть происхождение полученных средств.

Киберпреступники также создают учебные пособия по банковскому мошенничеству, которые включают инструкции:

— как открывать банковские счета и управлять ими;

— как красть информацию о кредитных картах;

— как подделывать чеки;

— как обманывать частных лиц или предприятия.

Этими «образовательными» ресурсами пользуются новички, чтобы узнать больше о том, как красть деньги.

Преступники крадут данные с помощью фишинговых сайтов: создают поддельные веб-страницы, пользователь вводит свои данные, данные крадут.

Все это в последние годы происходит и в Телеграме.

Использование ботов Telegram позволяет злоумышленникам автоматизировать атаки, нацеленные на клиентов банков.

Используя автоматизированные сервисы ботов для отправки этих

сообщений, злоумышленники потенциально могут более эффективно охватить большее число жертв или делегировать это другим киберпреступникам за определенную плату.

Например, SMS Ranger — это бот для перехвата OTP и SMS, который способен получать коды OTP и SMS от жертв, выдавая себя за компанию или банк.

Хактивизм — это злонамеренное использование компьютерных технологий политическими или общественными активистами для того, чтобы сделать

заявление в поддержку своего дела или идеологии.

Хакерство — взлом компьютера, а активизм — выражение своей позиции. Отсюда и такое название.

Хактивисты выступают против любой организации, которая, по их мнению, угрожает их делу. Они, как правило, нацелены на правительства и политиков, но могут также выступать против корпораций, религиозных групп и т.д.

Любая организация может стать мишенью, если ее действия противоречат идеологии определенной хактивистской группы.

Телеграм популярен среди хактивистов благодаря каналам, где можно общаться сразу с многими людьми, и достаточно мягкой системе модерации. Например, в 2022 году хактивисты использовали Телеграм для того, чтобы повлиять на мнение людей об Иранских протестах.

Если говорить про одежду, то чаще всего — это предметы роскоши. Владельцы каналов в Телеграме не скрывают подделок, но говорят, что их товар на 99,9% оригинален. Например, Telegram-канал “Outlet Luxury Brands Women's Room” продает поддельные модные товары, которые копируют люксовые бренды: Chanel, Dior, Balmain, Celine и Louis Vuitton.

Во время Covid-19 расцвел рынок поддельных справок о вакцинации. И сейчас Телеграм так же полон ими. Причем часто уровень подделок чудовищно низкий, а продавцы пропадают сразу же, как получают оплату.

У таких каналов десятки тысяч подписчиков – и их число постоянно растёт.

Еще в Телеграме продают оружие со всего мира:

— автоматические штурмовые винтовки,

— взрывчатые вещества,

— противотанковые ракеты,

— ракетные пусковые установки.

Хотя оружие в Телеграме продать сложнее, чем другие товары, такие предложения все еще существуют. Продавцы размещают фотографии оружия с описанием, ценами и местами получения, такими как Сирия и США. А покупатели могут оставлять запросы или отправлять прямые сообщения для согласования цен и мест встречи.

Честно говоря, сами такого не ожидали! Но считаем, что знать о таких сторонах тоже важно. Мы не пытаемся дискредитировать Телеграм — это прекрасный мессенджер, которым мы и дальше будем пользоваться (встречаемся в канале Ресурса).

Мы написали эту статью, чтобы напомнить о том, что надо быть осторожным, и показать, что даже мессенджер можно использовать как площадку для ужасных дел.

Что будете пить? Исследование условий потребления алкоголя

Как продавать в России в 2023 году? На основе данных о потребительском поведении
Выжимка из презентации «Срез потребительских настроений» от Яков и партнеры (ex-McKinsey) и Ромир