Telegram用戶在較早前遭受多個騎劫活動的威脅,通常是由通訊錄內其中一人發送過來內含連結的訊息,誘餌可以是參與網上投票或比賽、禮品或試用版,甚至是簽署集體請願書,而共通點是需要透過Telegram進行認證。
以QR Code作掩飾
既然是騙局,當然沒有比賽和禮物,而訊息也並非出自通訊錄內的朋友所寫,而是攻擊者已經騎劫受害者的帳號。由網絡犯罪份子發送的連結經常使用縮短網址的服務,有關的工具能夠隱藏真正的網址,此外,也令反釣魚工具更難察覺釣魚連結。
通常網站的外觀都相當樸素,首頁顯示為「登入和投票」或「免費使用Telegram Premium」,視乎偽裝為哪種活動,然後便會出現登入畫面,如果使用桌面電腦打開網站便會出現QR Code去登入,使用流動裝置的話則會旬問用戶的國家和電話號碼,有時更提供方便的選項。一旦用戶輸入電話號碼,攻擊者的腳本便用在新裝置登入受害者的Telegram帳號,官方的保安機制要求用戶確定和發送核實碼到已獲Telegram授權的電話或電腦,在雙重認證(2FA)關閉的情況下,這些號碼和電話號碼便是令攻擊者登入到用戶帳號的資料,當攻擊者收到受害者輸入的號碼後,便能獲得帳號的完全控制,包括連結到其他裝置。
如果是QR Code的場合就更加直接,甚至不需要核實號碼,其實它並非自電話登入的QR Code,而是把額外裝置連到帳號,依照指示掃瞄的話攻擊者就能自動登入受害者帳號和取得控制權。
目標是帳號內的個人資料
網絡犯罪份子盜取受害者的Telegram帳號可以有幾種常見原因,首先自然是利用帳號發送更多釣魚連結,其次是帳號經過桌面版的Telegram,攻擊者能夠匯出受害者的通訊列、個人資料、聊天記錄以及上載或接收的檔案,內裡可能含有機密資料,經過一段時間後,攻擊者可能會致電給受害者,並要求金錢以交還帳號。
遇可疑連結切勿進入
當遇到可疑的連結,選擇不進入就是最安全的做法,更不應該在Telegram應用程式以外輸入Telegram的核實碼。開啟雙重認證2FA能夠提高盜帳的難度,也不會影響日常使用,只是當其他裝置嘗試登入時會要求額外密碼,為用戶提供多一重保護,在Settings > Privacy and Security內選擇Two-Step Verification打開。如果不慎已在假網站輸入核實碼,可以到Settings > Devices點選Terminate all other sessions,終止其他裝置上的連線。
資料來源:Kaspersky Blog
