Недавно нашему сотруднику поступило сообщение в Telegram с предложением выкупа аккаунта. Он решил исследовать схему и выяснить, что стоит за этим предложением.
В рамках эксперимента был создан новый аккаунт, на котором зарегистрировали кошелёк. Затем, по примеру исходной ссылки, была сгенерирована новая ссылка с произвольными параметрами: https://t.me/OffersCreatorBot/offer?startapp=WzAsIDEwMDUwMCwgIm15LXN1cGVyLXB1cGVyLXRhZyIsICJGdWxsIiwgMiwgMTczMzgxMTE0MzIzMl0K
При переходе по ссылке запускалось мини-приложение Telegram, маскирующееся под биржу Fragment . После подтверждения запуска открывалось приложение с оффером.
На следующем скриншоте видно, что предложенный выкуп юзернейма составил 100500 TON ($381 900).
Однако этот юзернейм (my-super-puper-tag) уже занят и не продаётся, что сразу вызывает подозрения. Приложение принимает любые юзернеймы, и его цель явно не покупка.
После нажатия "Accept the offer" появилось окно с выбором кошелька.
Был выбран специально созданный пустой кошелёк Telegram.
Далее всплыло сообщение о подключении мини-приложения к кошельку, в котором указывалось, что это стороннее приложение, не связанное с Telegram. Это странное предупреждение, ведь Fragment действительно является частью Telegram.
На следующем этапе приложение запрашивало доступ к кошельку для просмотра всех активов. Отметка внизу указывала, что оно не сможет списывать средства без разрешения, но это не гарантировало безопасность.
Так как на тестовом кошельке не было средств, дальнейший процесс не был завершён. Однако мы предполагаем, что приложение анализирует баланс, создаёт один или несколько запросов на перевод и отображает сообщение в стиле "Всё готово, подтвердите продажу юзернейма в кошельке". После подтверждения в кошельке появляется запрос на перевод, и если пользователь соглашается, его активы уходят злоумышленникам.
Вывод - мошенники могут использовать мини-приложения в Telegram для кражи средств с криптокошельков, маскируясь под известные сервисы. Будьте бдительны и проверяйте, к каким приложениям даёте доступ к своим активам!
StopPhish, платформа по тренировке навыков кибербезопасности