由於Telegram擁有龐大用戶群,加上開放的API和支援加密支付,所以充斥著各式各樣的詐騙和網絡釣魚,而且不再是昔日的「尼日利亞王子走資」電郵,而是利用機器人、禮物和加密貨幣等更加現代的誘餌。
Telegram機器人為網絡犯罪份子服務
Telegram充斥著大量機器人相關的詐騙,部份攻擊者為其他不法份子提供機器人去創建新的一款,是「釣魚服務」(phishing-as-a-serivce)的一種。攻擊者經常使用Telegram機器人代替網站,因為較容易遊說潛在受害者,要創建和維持功能全面的網魚網站,並讓受害者吃下誘餌顯得相當困難,使用機器人的好處是用戶無需離開Telegram,使他們有錯覺認為身處安全的環境。
其中一個例子涉及加密貨幣投資,訛稱向所有人送出新token,只需要進入機器人和通過身份核實程序,騙徒並沒有要求護照相片或視像通話去確定身份,而是支付一定數量的加密貨幣,這筆錢當然是直接近入攻擊者的帳號而一去不返。當然Telegram機器人並不限於加密貨幣,也有邀請受害者付費觀看短影片。
Telegram的機器人有高度侵入性,如果不封鎖它們,它們會一直纏繞用戶,而大部份釣魚網站則完全不同,受害者瀏覽網站然後離去,Telegram機器人則把可疑連結發送到眼前,糾纏用戶以取得頻道和群組的管理權限,直至把它們封鎖才會停止。另一種機器人相關的詐騙,攻擊者遊說受害者開始與機器人對話,然後分享他們的資料和發送金錢,一旦受害者上釣,騙徒把機器人更改名稱為Telegram Wallet或Support Bot(冒充官方頻道),再把機器人的擁有權在受害者不知情下轉到他們帳號,然後向Telegram舉報,Telegram不但會刪除機器人,連同受害者帳號也會一併刪除,藉此掩飾他們的蹤跡以逃避調查。
假禮物和帳號盜竊
攻擊者千方百計取得受害者帳號,其中一個最常見的詐騙是Telegram Premium的訂閱「禮物」,騙徒透過入侵的帳號向其朋友發送訊息,遊說他們前往釣魚網站去「完成訂閱」,事實當然沒有訂閱,只有受害者的帳號落入他們手中。加一種詐騙則涉及Telegraph,Telegram上發佈長文的工具,任何人都能發放內容而無需事先登記,由於容易令用戶前往釣魚網站而被攻擊者利用,目標仍然是騎劫帳號。
騙徒和網絡釣魚也與時並進,經常利用AI創建deepfake、盜竊生物特徵資料、使用Blob URL隱藏釣魚攻擊,甚至使用Google翻譯的子網域,詳細資料可以瀏覽Securelist。
防範Telegram詐騙和網絡釣魚
最好的建議是一直保持批判性思考,不過人總有時會魯莽行事,唯有瞭解更多騙局,才能知改知彼:
- 不要點擊陌生人發送的連結,即使有豐厚禮物也不要上當,也不要連結指向的地方輸入個人資料。
- 在Telegram設定鬼隱和保安,例如雙重登入認證和秘密聊天。
- 不要與任何人分享一次性編碼,也不要在官方Telegram應用程式以外輸入。
- 使用可靠的防護發出網絡釣魚警告
- 封鎖入侵性機器人,如上文所述,不封鎖的話煩人的訊息不會停止。
- 設定每週自動終止所有不活躍的對話,在Settings > Devices > Automatically terminate sessions > If inactive for > 1 week。
資料來源:Kaspersky Blog
