Последние обновления в мессенджере Telegram расширили пользовательские возможности, которые открыли новые двери для злоумышленников.

В приложении мессенджера появились новый функционал — открытый рынок подарков в Telegram, и на этом фоне тема NFT стала вновь популярна.

Сегодня разберемся с трендом на NFT-подарки: их довольно сложно получить из-за конкуренции с ботами, а потерять — проще простого.

Мы расскажем и покажем:

• как мошенники могут забрать все NFT, даже без участия жертвы;

• как они находят пользователей для осуществления схемы;

• какие инструменты используют;

• как уберечь свои уникальные цифровые продукты.

Telegram-подарки

Сначала разберёмся, какие бывают подарки в Telegram. Их можно разделить на три типа, с каждым из которых мошенники взаимодействуют по-разному:

• Обычные, не улучшаемые подарки. Их нельзя выставлять на открытую трейд-площадку, но можно сразу конвертировать в звёзды — внутреннюю валюту Telegram.

• Редкие подарки, некоторые из них в последующем можно улучшить до уникальных (лимитированных).

• Лимитированные подарки, отличающиеся своей редкостью в зависимости от вероятности выпадения того или иного атрибута на каждом конкретном NFT.

Что же это за атрибуты? Уникальность подарка зависит от трёх основных характеристик: модель, цвет фона и символы на фоне. Чем меньше процент каждого атрибута, тем подарок дороже.

На скриншоте видно, что подарки далеко не дешевые. Так, 50 тыс. звезд Telegram в рублевом эквиваленте составляет ₽82 тыс. Это и привлекает внимание злоумышленников.

Мошенники заинтересованы в воровстве всех типов подарков, т.к. из любого подарка можно извлечь реальную прибыль.

Как воруют NFT-подарки

Мы кратко разобрали, что именно воруют злоумышленники, а теперь посмотрим, каким образом это происходит и какие инструменты используются.

В первую очередь целесообразно рассмотреть, что из софта применяют мошенники.

В апрельском обновлении Telegram в API были добавлены методы для ботов, которые могут быть использованы в нелегитимных целях. Вот некоторые методы, необходимые для понимания работы инструментов:

• BusinessConnection — описывает связь бота с бизнес-аккаунтом.

• GetBusinessAccountGifts — возвращает подарки, полученные и принадлежащие управляемому бизнес-аккаунту;

• transferBusinessAccountStars и GetBusinessAccountStarBalance — переводит Telegram Stars с баланса бизнес-аккаунта на баланс бота, что позволяет боту проводить транзакции;

• transferGift — передаёт принадлежащий владельцу уникальный подарок другому пользователю;

• convertGiftToStars и UpgradeGift — обеспечивает взаимодействие с подарками, в том числе конвертацию обычных подарков в звёзды или улучшение редких подарков до уникальных.

Некоторые из читателей могут распознать в предназначении этих методов основу для такого инструмента, как дрейнер.

Дрейнер — это вредоносное ПО или автоматизированные скрипты, предназначенные для быстрого и скрытого опустошения цифровых счетов, кошельков или хранилищ ценностей. Их основная задача — незаметно похищать активы (криптовалюту, электронные деньги, игровые ценности и т. д.) и переводить их на контролируемые злоумышленниками ресурсы.

Всё, что необходимо для использования данных методов, — это наличие бизнес-мода у бота, который активируется только с Telegram Premium. Именно подключенный бизнес-мод позволяет передавать, продавать, улучшать и конвертировать подарки. А что самое главное, для активации всех действий дрейнера нужна только переписка жертвы с ботом в последние 24 часа, но этого времени достаточно для вывода всех NFT.

Код подобных ботов-дрейнеров активно распространяется по цене от $10 на форумах в теневой части Интернета.

Разберем python-код одного из добытых нами дрейнеров. Код представляет собой Telegram-бота для бизнес-аккаунтов, разработанного на базе фреймворка aiogram 3.x.

Основная цель — автоматизированное управление подарками и звёздами, включая их сбор, конвертацию и перевод. Как мы ранее отмечали, в основе работы лежит обработка подключения бизнес-аккаунта через бизнес-режим Telegram. При подключении бот сохраняет данные подключения жертв в файл business_connections.json, включая user_id, business_connection_id и username, а затем уведомляет администратора о новом подключении. Уведомление содержит количество звёзд, общее число обычных и уникальных подарков, а также предоставляет интерактивные кнопки для массовой конвертации подарков в звёзды, апгрейда или вывода всех подарков.

Интерфейс бота:

Бот активно использует ранее описанные методы Telegram Business API для работы с подарками: GetBusinessAccountGifts, ConvertGiftToStars, TransferGift, а также для получения баланса звёзд (GetBusinessAccountStarBalance).

Алгоритм работы построен так, что неуникальные подарки автоматически конвертируются в звёзды, а уникальные пересылаются на указанный task_id. Аналогично проверяется наличие звёзд на балансе и при необходимости выполняется их вывод.

Подходы социальной инженерии для кражи NFT-подарков

Мы узнали об основном инструменте, используемом злоумышленниками, а теперь давайте рассмотрим схемы социнженерии, которые применяют мошенники.

Начало диалога с жертвой может быть самое разное: от просьбы подписаться на Telegram-канал и оставить отзыв до уже ставших классическими голосований в «фото-баттлах» или просто скупки NFT.

Злоумышленники почти всегда стремятся вовлечь жертву во взаимодействие с дрейнер-ботом. Чаще всего это происходит через прямую ссылку на Telegram-бота, однако встречаются и более изощрённые подходы — например, пересылка сообщений от самого бота с кнопками «получения подарка» или «активации чека», за которыми скрыт запуск команды /start.

Некоторые мошенники демонстрируют поразительную невнимательность: они не только плохо ориентируются в работе собственного бота (так и не придумав легенду), но и забывают, что уже вели переписку с жертвой ранее.

Ниже приведён пример того, как один и тот же злоумышленник с двух разных аккаунтов пытался взаимодействовать с жертвой. Целесообразно отметить, что аккаунты имели одинаковое оформление (фото и имя).

Но как злоумышленники находят пользователей с подарками?

В первую очередь — через различные чаты, в которых ведётся обсуждение о продаже уникальных подарков. В них в ручном режиме злоумышленник находит цель для развития диалога и перевода в бота-дрейнера. Это таргетная аудитория, которая и нужна искателям легкой наживы.

Также на площадках и форумах остаются популярны обсуждения парсер-скриптов по каналам и сообществам мессенджера. Большинство парсеров могут собирать списки id пользователей из чатов, а также комментариев под постами.

Все эти инструменты позволяют получить список пользователей, но как в автоматическом режиме мошенники узнают, есть ли у пользователей необходимые NFT-подарки?

Для этого используется недавно добавленный метод getUserStarGifts, который позволяет получить по id информацию обо всех подарках, полученных пользователем.

Единственное, что нужно для реализации этого метода в действии, — написать небольшой python-код на одном из популярных фреймворков, содержащий api_id и api_hash telegram App, который легко можно зарегистрировать на официальной платформе my.telegram.org.

В ходе расследования было отмечено, что злоумышленники чаще всего используют нейросети при написании кода, т. к. на форумах обсуждаются качественные показатели работы ИИ на данном направлении.

В настоящее время мы наблюдаем устойчивую тенденцию повышения эффективности новой мошеннической схемы, которая активно набирает обороты в мессенджере Telegram. Её особенность в том, что злоумышленникам удаётся извлекать реальную финансовую выгоду без использования каких-либо сложных технических инструментов. Более того, для её реализации достаточно минимального уровня знаний в области социальной инженерии и технических навыков.

Главный совет, чтобы уберечь свои уникальные подарки от желающих легкой наживы, — будьте бдительны, не переходите по незнакомым ссылкам и тем более в сомнительные Telegram-боты.