14.06.2026 17:30
Makeman 24 22000 Источник

Современные месенджеры позиционируют себя как очень безопасные средства для общения, защищённые по последнему слову техники привязкой мобильного номера, сложными паролями, многофакторными аутентификациями, криптопротоколами и прочими наворотами. Это создаёт у пользователей ложную уверенность в том, что им в сети ничего не грозит.

Однако на самом деле все эти средства защиты оказываются бесполезны перед классической схемой фишинга, когда вредоносная ссылка ведёт на поддельный ресурс, который визуально копирует оригинальный.

Вы просто можете спешить, быть в уставшем состоянии или по наивности не придать значения тому тексту, что находится в адресной строке веб-браузера, и всё - одной этой ошибки достаточно для доступа к аккаунту посторонним лицом.

Более того, существуют лазейки, которые позволяют полностью украсть скомпрометированный аккаунт путём тихой смены мобильного номера без возможности дальнейшего восстановления личных данных и доступа.

Как это происходит?

Шаг 1. Отправка вредоносной ссылки в сообщении

Шаг 2. Переход на фишинговую страницу из любопытсва или по наивности

Шаг 3. Открытие скомпрометированной сессии

На этом шаге посторонний получает доступ к контактам, перепискам и другой личной информации. Может вылудить что-то ценное или просто стереть всю историю, сделав аккаунт бесполезным и непригодным для дальнейшего восстановления.

Шаг 4. Далее обычно следует тихая смена мобильного номера для получения полного контроля над аккаунтом

Отдельное “спасибо” стоит сказать “оперативности” служб поддержки в таких случаях и гению инженерной мысли, который позволяет менять мобильный номер на новый безо всяких уведомлений на старый. При этом не предусмотрено никого периода (окна плавной смены номера), когда на аккаунт ещё можно зайти со старого, чтобы прервать процесс смены на новый.

Что делать, если сессия скомпрометирована, но доступ к аккаунту пока ещё остался?

Нужно срочно зайти в настройки приложения и завершить подозрительные сессии, после чего сверить мобильный номер с вашим текущим. Терять время на обращения в службу поддержки нет смысла, с ответами там не спешат, если вообще отвечают...

Вот и всё. Будьте внимательны!

Комментарии (24)


  1. geolocator
    14.06.2026 17:51
    #30109962

    Господи что это за статьи уровня Домашний очаг?


    1. Makeman Автор
      14.06.2026 17:51
      #30109996

      Это информационная публикация и одновременно очередная попытка “достучаться” до разработчиков популярных мессенжеров с уязвимой механикой смены мобильного номера, чтоб наконец пофиксили.


  1. anonymous
    14.06.2026 17:51
    #30110260


  1. ifap
    14.06.2026 17:51
    #30110096

    TL;TR: Если вы ввели логин/пароль к телеге на фишинговом сайте, ваш акк в телеге угонят. Архитектурный факап, !!!11111


    1. Makeman Автор
      14.06.2026 17:51
      #30112948

      Вы не уловили суть публикации. Архитектурный факап присутствует в механике смены мобильного номера.


      1. ifap
        14.06.2026 17:51
        #30113376

        Уловил, об это один абзац в конце, а до того весь текст про как попасть на фишинговый сайт и ввести там свои credentials.


        1. Makeman Автор
          14.06.2026 17:51
          #30113634

          Возможно, вы не обратили внимания, но об этом ещё в спойлере к публикации упомянуто

          Более того, существуют лазейки, которые позволяют полностью украсть скомпрометированный аккаунт путём тихой смены мобильного номера без возможности дальнейшего восстановления личных данных и доступа.

          И в конце об этом снова же, поскольку является завершающим этапом фишинговой атаки.


          1. UniversalChastity
            14.06.2026 17:51
            #30116988

            Ваша формулировка звучит абстрактно. "Существуют лазейки", "тихая смена номера без возможности восстановления". Словно есть какая-то чудо тема от хакеров, которые могут все провернуть незаметно для пользователя. Да и заголовок клик-бейт в чистом виде. Схема с фишингом существует наверное со времён появления интернета


            1. Makeman Автор
              14.06.2026 17:51
              #30117062

              Есть чудо-тема от самих разработчиков месенджера, которые реализовали процедуру смены номера ну очень “безопасным” (читай: безобразным) образом, благодаря которой имеет смысл и во всей полноте работает схема фишинга.

              Если б нормально было сделано (с возможностью оповещения и отмены операции смены номера в течение некоторого периода), то полностью украсть аккаунт было очень проблематично и вред от фишинга для обычных пользователей стал бы минимальным.

              А так узнаёшь о произведённой смене номера уже постфактум, когда тебя вылогинило из приложений, и сделать уже ничего не можешь даже через поддержку, потому что не отвечают.

              Для меня, например, не сильно критично, что кто-то прочтёт переписки или увидит подписки, секретов там не храню, но вот “избранное” или какие-то моменты истории терять вместе с аккаунтом немножко грустно.


      1. tagriverdievich
        14.06.2026 17:51
        #30117122

        Номер телефона в телеге используется только как защита от массового создания аккаунтов. В дальнейшем он не играет никакой роли, вы можете потерять доступ к телеге в независимости от того какой номер к ней подключен, код приходит на устройство с рабочей сессией. И это прекрасно, потому что номер не вполне вам принадлежит, в отличии от устройства или пароля от 2ф.


        1. Makeman Автор
          14.06.2026 17:51
          #30117738

          Для обычных пользователей, которые используют Телеграмм для повседневного общения с друзьями и коллегами, а не каких-то сомнительных дел, ничего прекрасного в такой схеме нет.

          А в том, что старую сессию довольно легко можно завершить из новой скомпрометированной без каких-либо подтверждений, очень хороший потенциал при похищении аккаунта.


        1. Makeman Автор
          14.06.2026 17:51
          #30119372

          Кстати, могу ошибаться, но, по-моему, вы не вполне правы насчёт номера… Если устройств с рабочей сессией не осталось (удалили приложение, сломался телефон), то восстановить доступ к аккаунту можно только лишь кодом подтверждения на привязанный мобильный номер, то есть он играет свою роль.


    1. Makeman Автор
      14.06.2026 17:51
      #30112986

      При корректной механике смены мобильного номера даже при вводе личных данных на фишинговом ресурсе вероятность незаметного “угона” аккаунта становится минимальной.


    1. vikarti
      14.06.2026 17:51
      #30115980

      Внезапно - у ВК(!) давно было сделано (сейчас возможно конечно и там - убрали это) что если входишь без номера телефона (Ну или уже сессия есть) то поменять номер не имея доступа к старому - можно но будет недель висеть баннер что идет процедура замены и это можно отменить. Но видимо это утраченные технологии древней цивилизации.


  1. 0x22
    14.06.2026 17:51
    #30110152

    То критические баги от ИИ в Махе, то - "ой, смотрите, а через фишинг-то учётки в ТГ угоняют!".

    Пожалуйста, прекратите эти ваши

    попытка “достучаться”

    это попытка накрутиться на Мах/ТГ. Актуальная схема :)


    1. Makeman Автор
      14.06.2026 17:51
      #30112926

      В конкретном случае ваш вывод неверный: у меня недавно украли личный телеграмм-аккаунт именно по этой схеме, во многом из-за ошибочной уверенности, что покуда он привязан к реальному мобильному номеру, с ним ничего серьёзного не сможет случиться.

      Ну, максимум, кто-то получит доступ к перепискам, но в любой момент есть возможность закрыть скомпрометированную сессию. Но не тут-то было, оказалось, что номер можно поменять втихую и уже позакрывать мои сессии.

      То есть присутствует существенное упущение и лазейка в механике смены мобильного номера. По официальным каналам до разработчиков и поддержки у меня достучаться не удалось, поэтому остался вариант лишь с публичной оглаской.


      1. 0x22
        14.06.2026 17:51
        #30114076

        Видите ли, в последнее время так много выходит постов на тему Маха, по большей части которые не содержат той технической части, что хотелось бы видеть на Хабре. В вашей статье в основном идёт описание фишинга и то в скринах больше, а эта тема не нова совершенно. Печально, что с вами случилась эта проблема, зато появился опыт, хоть какой-то плюс. А эта лазейка как фича, видимо нужна кому-то и будет работать ещё, ведь предыдущая ваша статья не дала эффекта(возможно пока что).


        1. Makeman Автор
          14.06.2026 17:51
          #30115178

          Похоже, что желаемого эфффекта действительно на данный момент не достигнуто, но хотя бы осведомлённость людей повышается.

          Вообще, меня очень удивляет тот факт, что столь серьёзная лазейка, которую весьма легко прикрыть, существует уже много лет и разработчикам до неё как будто и дела нет.

          Если поразмышлять на эту тему в конспиративном русле, то замечательный бэкдор получается: делаем недокументированный api-метод, который тихо подменяет мобильный номер для любого аккаунта, вызываем его, незаметно открываем сессию и вуаля, получаем доступ к личным данным, а при необходимости ещё и сам аккаунт можно отобрать. Надеюсь, что это лишь моя фантазия! (:


    1. OlegKnut
      14.06.2026 17:51
      #30113746

      Что за хайп вокруг накрутки ТГ? Телега платит бабло за подписюнов или какой в этом профит? Мне сложно поверить, что кто-то ведется на рекламу в этом мусорном мессенджере, где среди спама уже сложно найти деловую переписку. Если б не блокировка воцап, я бы даже не узнал о существовании этих недомессенджеров.


      1. Makeman Автор
        14.06.2026 17:51
        #30113992

        Насколько понял из разрозненных источников информации, аккаунты в социальных сетях и мессенджерах “угоняют” для их дальнейшей продажи. Кто их покупает и зачем для меня большая загадка…

        Но раз этим занимаются, видимо, какой-то профит в такой деятельности всё же есть.


  1. razvivausI_flag_I
    14.06.2026 17:51
    #30111262

    Хочется добавить, что примерно такие же схемы (как минимум с точки зрения смены номера) имеют место быть в онлайн банках. Есть прецеденты. И больше всего негодования вызывает то, что этот номер, опять же, меняется без проблем или каких-либо фич, препятствующих манипуляциям на аккаунте. Номер на скомпрометированном аккаунте меняется без ведома владельца и деньги крадутся. Антифрод может и не помочь


    1. vikarti
      14.06.2026 17:51
      #30115998

      И в таких условиях у того же MAX'а похоже намеренно сделано что Цифровой ID можно создать только если номер MAX'а совпадает с тем что в госуслугах. Если при этом MAX'ом еще и пользоваться - его ж будут знать все желающие и какая никакая но защита основанная на том что у банков/госуслуг отдельная сим - уже не работает.


  1. martin_wanderer
    14.06.2026 17:51
    #30116394

    Главный недостаток этой статьи в том, что решительно ничего понятнее не стало. В результате весь этот текст не отличается от совета по сетевой гигиене - "не ходите по незнакомым ссылкам".

    Правильно ли я понял, что настоящий QR "транслирован" через фишинговую страницу, а реальную сессию установил злоумышленник? В любом случае непонятно, зачем где бы то ни было вводить второй фактор от своего аккаунта...


    1. Makeman Автор
      14.06.2026 17:51
      #30116624

      Да, верно, настоящий QR транслирован через фишинговую страницу, поэтому сесию крадёт посторонний.

      Но это полбеды: заметив подозрительную активность, владелец аккаунта рано или поздно мог бы завершить скомпрометированную сессию самостоятельно, однако через некоторое время тихого ожидания этому постороннему становится доступной возможность внезапной смены мобильного номера без ведома владельца аккаунта, что ведёт к краже и полной потере доступа настоящим владельцем.

      Обращения в поддержку остаются без ответа, поэтому на неё рассчитывать не приходится…