近期Telegram Gifts成為了熱朝,不少開發者更找來名人推出聯乘的圖像收藏,感覺有如當年的NFT類似,當然也需要付費購買,而騙徒就以免費派發(airdrop)作為招徠,藉此進行網絡釣魚。
Telegram官方應用程式作為掩飾
典型的網絡釣魚是直接地把偽裝合法登入表格的假連結發送給用戶,當受害者輸入他們的憑證,所有資料便會送到騙徒手上,然而釣魚的策略持續進化,新攻擊方法更加狡滑。犯罪份子直接在Telegram內製作釣魚Mini Apps,令它看起來是標準的網頁但內嵌在通訊應用程式界面內,而不會打開外部瀏覽器,對用戶而言這些應用程式看似完全合法,因為在官方Telegram應用程式內運行,更容易掉入陷阱。
為甚麼能存在於官方應用程式?
核心的保安問題是Telegram Mini Apps是一個幾乎沒有事前審核就能推出的平台,與Google Play和App Store的嚴格審核流程截然不同,但這些平台仍然偶爾失手被惡意程式成功上架,在Telegram就更容易得逞,任何創作和發佈Mini Apps的人都能做到,Telegram不會審查程式碼、功能或開發者意圖,令擁有近10億全球用戶的即時通訊服務存在嚴重的安全漏洞,而Telegram的取態是被動的審核,只有用戶投訴或執法部門介入才會採取行動。
有個案是騙徒偽充UFC的選手送出數碼圖像,由於聯乘的選手有在自己的X和Telegram發佈消息(拍賣結束後已刪除),加上只推出2.9萬個,對支持者而言假的免費贈送活動自然有一定的吸引力。
冒充知名平台
騙徒利用知名平台Portals(合法的Telegram內遊戲、應用程式和娛樂服務),他們創建一系列的Mini Apps看起來與真實版接近無異,並聲稱會免費送贈Telegram Gifts,不過為減成本內容明顯有使用人工智能的跡象,某些資訊中遺留了由神經網絡產生的內容,騙徒原因不明的情況下把它留下來而沒有刪除。
防範Telegram被入侵
- 核實來源,在收到名人送禮或來歷不明帳號飛送的連結,點擊前先在名人或公司的官方渠道核實,查看是不真實的促銷活動。
- 查看帳號驗證徽章,確定「 藍勾」的真偽而不是表情符號或個人資料名稱的一部份,點擊勾號圖示可以驗證,屬實的話Telegram會明確列明,冒充的話點擊不會有任何反應。
- 不要心急在Mini Apps登入,正常的Telegram應用程式不會要求用戶在Mini Apps內再次登入,如果被要求輸入手機號碼或驗證碼,很大機會是網絡釣魚。
- 尋找AI生成文字或設計,奇怪文法和不自然的語法,或神經網絡留下的訊息都是詐騙的警號。
- 啟動Telegram密碼的雙重驗證,在Settings > Privacy and Security > Two-Step Verification啟動。
- 使用Passkey保護帳號,近期Telegram更新加入passkey登入,在Settings > Privacy and Security > Passkeys啟動。
- 在智能電話安裝可靠的保護方案
Telegram帳號被盜的應對
最重要是保持冷靜和迅速行動,用戶有24小時去取回自己的帳號,否則有機會永遠失去,第一步是於手機應用程式內Settings>Devices>Terminate all other sessions,然後到Settings>Ask a question聯絡Telegram的支援。如果超過24小時,嘗試打開Telegram應用程式,輸入電話號碼然後確定,選擇Tap to get a code via SMS,然後輸入收到的編碼,輸入雙重驗證密碼(如已設定),再結束所有其他裝置上的連線。
資料來源:Kaspersky Blog
