В Telegram резко выросло число краж аккаунтов — в I квартале похитили 887 тыс. профилей пользователей из России и других стран. Это почти сопоставимо со вторым полугодием 2024-го. В этом году атаки стали более автоматизированными за счет использования шаблонов, в том числе и благодаря применению ИИ. В такой ситуации, по словам экспертов, не только сами пользователи должны применять базовые меры защиты, но и мессенджер обязан обновлять такие инструменты безопасности, как, например, уведомления о входе, расширенные настройки приватности и борьба с фишингом.
Как мошенники воруют аккаунты и данные пользователей
В условиях развития цифровых технологий и увеличения объема информации мошенники всё чаще придумывают разные схемы обмана граждан, в том числе через соцсети и мессенджеры. И самые популярные из них, например Telegram, привлекают всё большее внимание злоумышленников.
За первые три месяца 2025 года только одна из русскоязычных групп злоумышленников похитила более 887 тыс. аккаунтов пользователей из России и других стран, тогда как за второе полугодие 2024 года та же группа угнала более 1,2 млн профилей, рассказала «Известиям» старший аналитик департамента защиты от цифровых рисков (Digital Risk Protection) компании F6 Мария Синицына. Она отметила, что это данные только по одной из групп, а всего было обнаружено не менее шести подобных, которые действуют против пользователей Telegram.
— Главная задача злоумышленников — добиться того, чтобы пользователь указал свой номер телефона, пароль от учетной записи и код из СМС от Telegram на фишинговом ресурсе, который внешне выглядит как официальная страница мессенджера, — объяснила эксперт.
Она отметила, что для достижения цели преступники стремятся использовать как свежие новостные поводы, так и проверенные уловки: обещание денежных призов и бесплатных подписок, голосование, доступ в приватный канал и другие, побуждая людей вводить конфиденциальные данные на фейковых ресурсах.
Недавно компания впервые зафиксировала «комбо-схему», в которой похищенный аккаунт автоматически начинает распространять мошеннические ссылки, рассказала эксперт.
— Злоумышленники угоняют аккаунты пользователей Telegram, а затем рассылают по списку контактов сообщения с предложением за деньги пройти опрос от имени партии «Единая Россия». Для этого предлагается скачать фейковое мобильное приложение с Android-трояном, после его установки преступники получают возможность вывести деньги со счетов жертвы, — уточнила Мария Синицына.
Один из пользователей Telegram, Даниил, рассказал «Известиям», как он лишился своего профиля в мессенджере в конце 2024 года. По его словам, с ним связался его одногруппник, вначале беседа была абсолютно обычной, как и ранее. Он даже присылал свои голосовые сообщения, поэтому мыслей о возможном мошенничестве у него не возникло, отметил Даниил.
— В чате он попросил помочь открыть ему архивную папку с файлами, якобы он был не у компьютера, а на телефоне не было нужной программы для разархивации. Я согласился помочь. После этого я загрузил папку, чтобы ее открыть, меня мессенджер «перекинул» в разархиватор, как только я это сделал и хотел отправить обратно файл, понял, что из моего аккаунта меня выбило, а заново зайти я уже не могу, — сказал Даниил.
По его словам, он пытался войти несколько раз, но код на телефон не приходил.
Действительно, человеку будет сложно восстановить свой аккаунт: после взлома мошенники мешают восстановлению контроля над ним, постоянно сбрасывая все активные сессии, рассказывали ранее «Известиям» эксперты. Они блокируют и возможность писать что-то во всех группах, где пользователь был администратором, чтобы замедлить распространение информации о взломе. Это наносит дополнительный урон жертве, так как блокируются не только личные, но и все рабочие группы и чаты, создавая риск для ее коллег и деловых партнеров.
После угона аккаунта в мессенджере преступники получают информацию из переписок. Они рассылают сообщения по списку контактов, группам пользователя, а также в каналы, если у учетной записи были права администратора, с просьбой о финансовой помощи или ссылки на фишинговые и мошеннические страницы, добавила Мария Синицына. Помимо этого, украденные аккаунты продаются через маркеты в веб-панели или Telegram-ботов. На теневом рынке средняя цена продажи таких профилей, зарегистрированных на российские номера, составляет около 160 рублей.
В «Лаборатории Касперского» подтвердили «Известиям» рост краж на 10% в I квартале 2025 года по сравнению с аналогичным периодом 2024-го. Интерес к учетным данным пользователей со стороны злоумышленников обусловлен тем, что украденные профили они могут использовать в разных других мошеннических схемах: в рамках телефонного мошенничества, для шантажа, для продажи в даркнете, отметила старший контент-аналитик компании Ольга Свистунова.
Директор компании «Интернет-розыск» Игорь Бедеров согласен с данными коллег по угону аккаунтов. Он заявил, что они коррелируют с общей тенденцией роста.
Как обезопасить свои данные
Значительные объемы фишинга через мессенджеры в России наблюдаются уже длительное время. У таких сервисов большая аудитория, люди их могут использовать как в личных, так и в рабочих целях, и злоумышленники это понимают, рассказала Ольга Свистунова. По ее словам, для реализации фишинговых схем преступники используют и нейросети, в частности применяют их для создания обманных страниц, таким образом они пытаются автоматизировать свою работу.
По словам Игоря Бедерова, речь идет о создании вредоносного ПО, текстов для мошеннических схем — сайтов, писем, сообщений. ИИ также применяется и для сложных, многоуровневых атак с выходом на конкретную жертву.
Рост числа краж аккаунтов в Telegram — опасный тренд, особенно учитывая масштабы, с которыми действуют киберпреступники, считает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
— Одна из причин уязвимости пользователей — недостаточный уровень защиты самих аккаунтов. Telegram должен продолжать развивать инструменты защиты, такие как уведомления о входе, расширенные настройки приватности и борьба с фишингом, — сказал депутат «Известиям».
По его словам, самим пользователям также необходимо осознанно относиться к защите своих данных: включать двухфакторную аутентификацию, регулярно проверять активные сеансы и не передавать коды или пароли третьим лицам. Без изменения поведения на пользовательском уровне любые технические меры будут иметь ограниченный эффект, полагает Антон Немкин.
В «Лаборатории Касперского» рекомендуют не переходить по ссылкам из сомнительных сообщений, особенно если их прислали незнакомые, также не вводить на подозрительных ресурсах учетные данные, коды подтверждения. Кроме того, важно использовать и антивирус на всех устройствах, заключили в компании.
