Сообщение в большом чате. Пишет кто-то из участников.
«Чат переносим в новое место — старый аккаунт администратора взломали. Вот ссылка на новый».
Ссылка — на Telegram. Не на сторонний сайт. Открывается внутри мессенджера.
Появляется окно с полем для ввода кода верификации.
Вводите. Всё.
Ваш аккаунт открыт на устройстве мошенника. Он читает переписку. Пишет от вашего имени. Просит деньги у ваших контактов.
Никакого взлома не было. Вы сами дали разрешение.
Почему это сработало
Главная особенность этой схемы — она работает внутри самого Telegram.
Не нужны поддельные сайты. Не нужен фишинговый домен. Ссылка ведёт в мессенджер, приложение открывается в мессенджере. Всё выглядит легитимно.
Специалисты «Лаборатории Касперского» зафиксировали эту схему в феврале 2026 года. Параллельно её описала компания CYFIRMA — с технической стороны.
Мошенники регистрируют собственные API-ключи Telegram. Через официальные механизмы аутентификации мессенджера инициируют вход на новом устройстве. Пользователь вводит код — и подтверждает чужую сессию.
Telegram видит это как обычный вход с нового устройства. Никаких тревог.
Два сценария — один результат
Первый. QR-код. Вам показывают картинку — якобы для входа в новый чат или подтверждения аккаунта. Сканируете телефоном. Ваш Telegram сам открывает сессию — но уже у злоумышленника.
Второй. Форма входа. Просят ввести номер телефона, код из SMS и пароль двухфакторной защиты. Все данные идут напрямую в официальный API Telegram — и создают реальную сессию на чужом устройстве.
Двухфакторная аутентификация не спасает. Если вы сами вводите код двухфактора на фишинговой странице — мошенник его получает и использует немедленно.
Как распространяют ссылки
Крупные чаты — главная площадка. Там сотни и тысячи участников, которые не знают друг друга. Незнакомое сообщение от незнакомого участника не вызывает подозрений.
Второй канал — личные сообщения от взломанных аккаунтов. Приходит сообщение от знакомого контакта с просьбой перейти по ссылке. Человек доверяет — переходит.
Третий — фишинговые сайты под Telegram. Сеть из 290 доменов в зонах .com.tr, .xyz, .shop — все копируют страницу входа в Telegram. Попасть туда можно через поисковик, рекламу, или ссылку в другом мессенджере.
По данным аналитиков, за первый квартал 2026 года доля атак на аккаунты выросла с 10 до 16% среди всех мошеннических схем. Telegram — в тройке главных целей вместе с Госуслугами и маркетплейсами.
Что мошенник делает с угнанным аккаунтом
Читает переписку. Ищет пароли, реквизиты карт, личные данные — люди часто хранят это в «Избранном» или пересылают себе.
Рассылает контактам просьбы о деньгах. От вашего имени, вашим стилем. Люди верят — переводят.
Продаёт аккаунт. Старые аккаунты с историей и контактами стоят дороже.
Использует для дальнейших атак — рассылает те же фишинговые ссылки по вашим чатам и контактам.
Как проверить прямо сейчас
Зайдите в Настройки → Конфиденциальность → Активные сессии.
Там список всех устройств, где открыт ваш Telegram. Незнакомое устройство — нажмите «Завершить сессию». Потом — «Завершить все другие сеансы», чтобы закрыть всё лишнее.
Это занимает тридцать секунд.
Что делать, чтобы не попасться
Первое. Никогда не вводите код верификации Telegram нигде, кроме самого приложения при входе с вашего устройства. Ни в каких формах, ни по чьей-то просьбе.
Второе. QR-код Telegram — сканируете только когда сами заходите в веб-версию на своём компьютере. Чужой QR-код сканировать нельзя никогда.
Третье. Установите облачный пароль. Настройки → Конфиденциальность → Облачный пароль. Без него войти в аккаунт только по коду из SMS — невозможно.
Четвёртое. Не храните пароли, данные карт и личную информацию в «Избранном» и в чатах. Если аккаунт угонят — это первое, что прочитают.
Пятое. Сообщение о переносе чата с просьбой ввести код — это всегда мошенничество. Администраторы не переносят чаты через верификацию пользователей.
Проверили активные сессии? Нашли что-то лишнее? Напишите в комментариях — и предупредите тех, кто в больших чатах.