Исследователи обнаружили в Европе кампанию, где Telegram используется для кражи логинов и паролей. Атаки зафиксированы в Германии, Венгрии, Словакии и Чехии. Сценарий выглядит просто, но продуманно: корпоративным пользователям рассылаются письма с вложениями в формате HTML, которые внешне выглядят безопасно — их имена соответствуют стандартам RFC, и потому большинство почтовых шлюзов не блокируют такие файлы.
При открытии вложения появляется форма авторизации, полностью копирующая корпоративный вход. Пользователь вводит логин и пароль, и в этот момент встроенный JavaScript-скрипт отправляет данные напрямую в Telegram-бота, подключённого к API мессенджера. Таким образом, злоумышленники получают учётные данные мгновенно и без использования собственной инфраструктуры.
Главная особенность этой схемы — отказ от классических серверов управления и доменов. Раньше фишинговые страницы передавали данные на контролируемые злоумышленниками хостинги, теперь же Telegram выполняет роль безопасного и анонимного канала. Это снижает затраты и резко уменьшает вероятность блокировки: для большинства компаний обращения к Telegram не выглядят подозрительными.
Исследователи отмечают, что с течением времени атаки становятся технически сложнее. Ранние версии использовали простой JavaScript, новые — шифрование на основе библиотек вроде CryptoJS и AES, а также продвинутую обфускацию кода, чтобы скрыть передачу данных и затруднить анализ.
Для компаний это создаёт новую зону риска: даже хорошо настроенные фильтры могут пропустить HTML-вложения, а обращения к Telegram часто не отслеживаются средствами безопасности.
Специалисты советуют обратить внимание на политику обработки вложений в почте, отслеживать исходящие запросы к api.telegram.org и обучать сотрудников не открывать HTML-файлы из писем, даже если они выглядят «корпоративно».