Вашему вниманию представлены 2 сообщения:

Сообщение 1

Сообщение 2

С виду они абсолютно идентичны, но дело в том, что на картинке 1 обычная ссылка на стартовую страницу Яндекс браузера, а на картинке 2 ссылка, ведущая на другой сайт, возможно, вредоносный. Как же так получается и что с этим делать, разбираю в статье ниже.

Пристегнуть ремни, поехали!

На связи Артемий Новожилов, архитектор систем информационной безопасности группы компаний «Гарда», автор Telegram-канала об инфобезе и защите данных. Немногим ранее я рассказывал о DLP и о маскировании данных, а сегодня предлагаю обсудить тему мошеннических сообщений, ведущих на вредоносные ссылки.

Сразу хочу подчеркнуть, что информация в cтатье носит исключительно ознакомительный характер и не является призывом к действию и не может использоваться в злонамеренных целях. Моя цель – предупредить о возможных сценариях обмана пользователей мошенниками.

По версии Ведомостей около 9 млн россиян каждый месяц сталкиваются с мошенническими сайтами. Более того «17% пользователей компьютеров и 12,5% владельцев мобильных устройств игнорировали предупреждения и переходили на ресурсы жуликов». Разумеется, многое зависит от качества действий мошенников: насколько качественно сделана ссылка, нет ли в обманном сообщении выдающих атрибутов и не вызывает ли подозрений сам сайт.

Когда речь идет о вредоносных сайтах (в данном контексте имеются ввиду сайты, с помощью которых мошенники или выуживают учетные данные от личных кабинетов, например, Госуслуг, или доставляют вредоносные программы) всегда встает вопрос привлечения на них жертв: кто-то по старинке использует почту, а кто-то перешел на более современные способы – мессенджеры.

Не стал исключением и Telegram, количество пользователей которого, по разным оценкам, насчитывает от 800 тысяч до 1 млрд человек в месяц по всему миру. С недавнего времени стали популярными фейковые сообщения в Telegram о подарке премиум-аккаунта.

Пример такого сообщения:

Чтобы понимать, от чего защищаться, нужно понимать, как это работает. Поэтому я постараюсь погрузить вас в разбор одного из таких фишинговых сообщений и расскажу механизм его создания и маскирования под легитимное сообщение.

В самом начале у меня была идея написать статью лишь о том, что можно в одну ссылку «подложить» другую (штатный функционал Telegram), но впоследствии я открыл «ящик Пандоры» невиданных доныне масштабов.

Начнем по порядку

Уже довольно давно я стал задумываться о том, что функционал веб-telegram версии K (в рамках данной статьи я рассматриваю именно его), который позволяет любой текст превратить в кликабельную ссылку (как я часто делаю сам в своих постах в тг), может также позволить указать любую ссылку в качестве текста.

Для примера я разберу следующий случай: под видом ссылки на Яндекс можно подложить ссылку на en.wikipedia.org (скриншот 1).

С первого взгляда с сообщением все в порядке – вы видите ссылку на Яндекс, вполне себе официальный сайт, и вас ничего не должно смущать, кроме момента перехода по этой ссылке. При переходе на внешний ресурс Telegram обычно указывает сам внешний ресурс и спрашивает, точно ли вы хотите перейти на него? Но будем честны, кто их читает, когда на первом этапе, визуальном, ничто не предвещает беды.

На этом статья могла бы закончиться, но дело вот в чем: когда я добавил ссылку на Яндекс, внизу в плашке быстрого перехода подтянулся Яндекс, как и должен был (скриншот 2).

Далее я, не подменяя ссылки, отправил сообщение получателю, и плашка Яндекса сохранилась (скриншот 3).

Уже отправленное сообщение я редактирую и «вшиваю» в ссылку ya.ru ссылку en.wikipedia.org: ПКМ на сообщение → Edit (скриншот 4).

Далее я выделяю текст ссылки https://ya.ru и выбираю следующую опцию как на скриншоте ниже (скриншот 5).

Добавляю другую ссылку en.wikipedia.org (скриншот 6).

Сохраняю изменения и вуаля (скриншот 7)!

После того, как я подменил реальную ссылку на Яндекс другой, en.wikipedia.org, плашка быстрого перехода на Яндекс осталась! Просто посмотрите на это сообщение и задайтесь вопросом – смущает ли вас что-то в нем визуально? 

Что мы имеем в итоге и чем это чревато?

В данном сообщении есть ссылка на Яндекс (в которой на самом деле «зашита» другая ссылка) и официальная плашка быстрого доступа с картинкой Яндекса, которая указывает на стартовую страницу Яндекс-браузера. Мне кажется, этого достаточно для того, чтобы жертва поверила в легитимность сообщения. 

Для визуального сравнения ниже указаны 2 варианта сообщения:

Сообщение с оригинальной ссылкой

Сообщение со сторонней ссылкой

Почему же тогда остается плашка быстрого доступа на ya, если ссылки уже нет?

Telegram работает таким образом, что в плашку быстрого доступа всегда попадает первая добавленная ссылка. В нашем случае это Яндекс. Сама ссылка на Яндекс никуда не исчезла, она также присутствует по тексту, и, видимо, именно на нее ссылается сама плашка, вот только эта ссылка «перебита» новой по логике работы Telegram. То есть технически для Telegram ссылка на Яндекс существует, а для нас уже нет.

Но я ведь увижу, что сообщение редактировалось меня не провести!

Верно, у редактируемого сообщения в правом нижнем углу есть надпись «edited», но и на это у меня есть ответ. ?

Я нашел как минимум два варианта обхода информирования о том, что сообщение редактировалось:

1. Такое сообщение можно подготовить через отложенные сообщения, в таком случае любые изменения не будут видны при отправке сообщения. То есть все изменения будут произведены в отложенных сообщениях, а получателю уйдет сразу готовое сообщение, редактировать которое уже нет необходимости.

2. Подготовить шаблон сообщения через личные сохраненные (Saved Messages) и просто пересылать данное сообщение. Логика та же.

Для сравнения два варианта:

Сообщение в личных сообщениях ‒ есть подпись «edited», изменено.

Далее я просто пересылаю это сообщение через штатный «forward to». На скриншоте ниже видно, что в сообщении при пересылке другому пользователю отсутствует подпись о редактировании «edited».

Почему это проблема и что же теперь делать?

Делом в том, что первичная задача любого мошенника – пройти порог доверия жертвы. Этому способствуют различные факторы: качество фейкового сообщения, модель общения (социальная инженерия) или информация, которой злоумышленник обладает о самой жертве.

Показанный мною метод – еще один кирпичик в замке повышения лояльности жертвы к мошеннику, так как в данном сообщении визуально нет абсолютно НИ-ЧЕ-ГО подозрительного, а значит куда больше шанс, что пользователь все-таки перейдет по этой ссылке и получит вирус или же введет свои учетные данные от банковского приложения, или от Госуслуг.

Мошенники становятся умнее и изощреннее и уже недостаточно просто проверить ссылку, указанную в самом сообщении, куда важнее, на какой именно ресурс вы переходите. При переходе сам Telegram обычно спрашивает, хотите ли вы перейти на внешний ресурс в таком виде:

Будьте бдительны и всегда проверяйте, куда именно вы переходите!

P.S. от Автора

На эту тему я отправил в поддержку Telegram обращение, жду официального ответа и обязательно вернусь с новостями!