Данная статья носит ознакомительный характер для того, чтобы предупредить честных людей о том, как их могут обмануть в популярном мессенджере! Покажите эту статью админам каналов в telegram!
Приветствую, друзья! Около 2 лет назад занялся ведением парочки каналов в telegram. Но последнее время участились случаи столкновения с мошенниками и мамкиными хацкерами. Поэтому хочу рассказать вам о том, как себя обезопасить.
Прежде всего нужно тренировать свою внимательность, потому что, как правило, всё плохое, во что вы можете вляпаться, случается по невнимательности (запустили левый файл, рассказали лишнего, повелись на социальную инженерию).
Итак, к рассказу
Написал мне вчера один такой пряник. Представился менеджером от какой-то компании, попросил прайс на рекламу. И завязался следующий диалог
В чем здесь подвох?
Во-первых, telegram позволяет прикреплять видео напрямую, есть возможность загружать файлы до 1.5Гб, что хватит на любой рекламный ролик.
Однако, человек прикрепил архив. Что было в этом архиве. Там был фай "Промо-видео.scr".
Бывают ли разновидности вирусов с расширением .scr ?
Да, бывают. Есть такой вирус Penetrator, который имеет расширение scr. Деструктивные действия вируса Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне) . Файлы .bmp, .png, .tiff вирус «не трогает» . Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами) . Как происходит заражение Средства распространения вируса – Интернет, flash-носители. Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3. При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки. scr или имя_папки. exe.
Кроме этого, вирус создает следующие файлы:
• \WINDOWS\system32\deter*\lsass.exe (в отличие от настоящего lsass.exe, «проживающего» в папке \WINDOWS\system32);
• \WINDOWS\system32\deter*\smss.exe (в отличие от настоящего smss.exe, «проживающего» в папке \WINDOWS\system32);
• \WINDOWS\system32\deter*\svсhоst.exe (буквы «с» и «о» – кириллические, в отличие от настоящего svchost.exe);
• \WINDOWS\system32\ahtomsys*.exe (например, ahtomsys19.exe);
• \WINDOWS\system32\сtfmоn.exe (буквы «с» и «о» – кириллические
Этот вирус может отключить вашу авторизацию в telegram по паролю, увести ваши данные для входа. В результате своей неосторожности вы можете лишиться канала (!).
Большинство вредоносных файлов, распространяемых в почтовом спаме, являются исполняемыми и имеют расширение .exe. Но есть интересные исключения: обнаружили несколько поддельных уведомлений от имени различных компаний, содержащих вредоносные файлы с расширением .scr. Обычно к файлам с таким расширением относятся экранные заставки и скринсейверы Windows.
В поддельном письме получателя приходит какая-то информация, а в ходе разговора предлагают посмотреть этот контент. На самом деле, в прикрепленном к письму архиве находился файл BanklineForm.scr, который детектируется «Лабораторией Касперского» как Trojan.Win32.Bublik. Зловреды этого семейства используются для скачивания и запуска различных вредоносных программ.
Использование файлов с расширением .scr вместо .exe, скорее всего, связано с тем, что последние часто встречаются в спам-сообщениях. Пользователи уже знают, что в большинстве случаев за вложенными EXE-файлами скрывается вредоносное ПО. В то же время файлы с расширением .scr встречаются в почте значительно реже и не вызывают подозрения у получателей. Не рекомендуется открывать вложенные в спам-письма файлы независимо от их расширения. Или, по крайней мере, стоит проверить присланный файл антивирусом, дабы не стать жертвой преступников.
Двумя месяцами раньше случилась другая история. И в тот раз я попался, в результате потерял 3000 руб. Вот эта история:
Актуальный способ мошенничества в telegram | Как меня обманули
Как себя обезопасить
С помощью того же фишинга злоумышленник, например, может обманом заставить вас ввести данные от учетной записи, создав поддельный сайт Telegram. Чтобы не потерять доступ к своей учетке, нужно:
1. Включить двухфакторную аутентификацию.
Это позволит входить в аккаунт через подтверждение кода в SMS.
Активировать функцию можно в меню Telegram -> Настройки -> Конфиденциальность -> Двухэтапная аутентификация. И следовать инструкциям на экране.
2. Защитить приложение паролем.
Чтобы никто не смог получить доступ к перепискам, кроме вас.
Включается в меню Telegram -> Настройки -> Конфиденциальность -> Код-пароль и Face ID (или Touch ID, если у вас более старое устройство). После установки кода вход в приложение будет осуществляться по паролю или отпечаткам пальцев/лицу.
3. Отследить, с какого устройства вошли в ваш Telegram.
Это можно сделать также через специальное меню: Telegram -> Настройки -> Конфиденциальность -> Активные сеансы.
Здесь можно удаленно отключить определенные сеансы свайпом влево по девайсу. Или завершить все сеансы, кроме текущего.
4. Настроить автоудаление данных.
Если вы по какой-то причине давно не заходите в Telegram, можно настроить автоматическое удаление всех данных в меню Telegram -> Настройки -> Конфиденциальность -> Если я не захожу.
Будьте внимательны и берегите свои данные!
Еще много полезного и интересного вы сможете найти на ресурсах:
Библиотека с книгами для физиков, математиков и программистов
Репетитор IT mentor в VK // Репетитор IT mentor в Instagram
Репетитор IT mentor в Яндекс.Дзен // Репетитор IT mentor в telegram
