После появления в конце мая в Telegram функции автоматизации переписки мошенники начали создавать фальшивые сервисы и чат-боты, которые под видом помощников для работы с сообщениями могут похищать данные пользователей. Злоумышленников интересуют не только аккаунты мессенджера, но и пароли от других сервисов, данные криптокошельков и содержимое переписок. Эксперты предупреждают: новая схема может затронуть тысячи пользователей. Как защитить личную информацию от злоумышленников — в материале «Известий».
Автоматизация для мошенников
Павел Дуров в конце мая представил функцию ботов-секретарей, которых можно подключать к личным сообщениям в Telegram. Пользователь самостоятельно определяет, к каким чатам получит доступ такой помощник и сможет ли он отвечать от имени владельца аккаунта. После настройки бот может автоматически сортировать сообщения, выделять срочные обращения, готовить ответы, обрабатывать типовые запросы и помогать не тонуть в переписке.
Если для бизнеса и обычных пользователей новый сервис открывает возможности, то для мошенников он стал поводом для распространения вредоносных сервисов и кражи личных данных. Как рассказал «Известиям» председатель координационного совета негосударственной сферы безопасности РФ, основатель компании «Интернет-Розыск» Игорь Бедеров, уже есть первые пострадавшие от схем, связанных с автоматизацией обработки сообщений.
— Наша компания фиксирует устойчивый сдвиг интереса злоумышленников в сторону легитимных инструментов Telegram, и новая механика автоматизации входящих сообщений стала для них подарком. Мы наблюдаем классическую схему маскировки вредоносного функционала под полезные бизнес-инструменты, только теперь это происходит в доверенной среде мессенджера, где у пользователя традиционно притупляется бдительность, — отметил эксперт.
Пользователям предлагают подключить бота для «умной» сортировки сообщений, автоответов или работы с клиентами через встроенную CRM-систему. Однако для активации сервиса человека просят скачать дополнительное программное обеспечение или пройти авторизацию через стороннюю форму.
— Под видом такого вспомогательного софта распространяются инфостилеры — программы, которые незаметно для пользователя похищают сохраненные пароли, сессионные токены, файлы cookie и данные криптокошельков. В результате злоумышленники получают доступ не только к переписке, но и к банковским приложениям, аккаунтам в соцсетях и криптобиржам, — пояснил Игорь Бедеров.
Как сообщил «Известиям» руководитель сервиса Smart Business Alert (SBA) компании «ЕСА ПРО» Сергей Трухачев, только за период с 7 по 27 мая специалисты обнаружили порядка 20 ботов, которые предлагали автоматизировать ответы в чатах и при этом, вероятно, собирали данные из переписок.
— Автоматизация переписки с помощью чат-ботов — благоприятная почва для мошенников. Собранная из сообщений информация может использоваться для сложных атак с применением социальной инженерии, а также для пополнения и актуализации баз данных для так называемого пробива, — отметил он.
Дополнительную угрозу представляет то, что собеседники пользователя зачастую не знают о существовании бота и считают, что общаются с реальным человеком.
— По сути, у злоумышленников появляется возможность «отдать» общение с потенциальными жертвами на аутсорс боту. Пользователь на другой стороне может выполнить его просьбу — перевести деньги, перейти по ссылке или предоставить конфиденциальную информацию, — пояснил Сергей Трухачев.
По данным SBA, потенциально вредоносными сервисами автоматизации уже могли воспользоваться несколько тысяч человек, при этом с утечкой данных или финансовыми потерями могли столкнуться сотни пользователей. По оценке Игоря Бедерова, совокупный ущерб от подобных атак только в России уже может превышать 10 млн рублей.
Старые схемы в новой упаковке
Речь идет об адаптации уже существующих схем под новую функцию мессенджера, считают опрошенные эксперты.
— Как только в Telegram появляется инструмент, связанный с доступом к сообщениям, сессиям или API, злоумышленники практически сразу используют его как повод для атаки. В данном случае новая функция подается как бесплатная автоматизация переписки и управления коммуникациями, — отметил директор центра противодействия мошенничеству компании «Информзащита» Павел Коваленко.
По его словам, пользователь обычно сталкивается с одним из двух сценариев. В первом случае его убеждают передать код подтверждения, QR-код или данные активной сессии Telegram. Во втором — предлагают установить специальный клиент, модуль или расширенную версию сервиса.
— Первый вариант чаще ведет к угону аккаунта, второй — к заражению устройства вирусом. Новизна здесь именно в упаковке: автоматизация выглядит как легитимный и полезный сценарий, поэтому под таким предлогом проще выманить доступ к аккаунту или убедить человека установить вредоносный файл, — подчеркнул эксперт.
Он также разделяет мнение о том, что с подобными ботами уже могли столкнуться десятки тысяч пользователей, тогда как число реально скомпрометированных аккаунтов может исчисляться тысячами.
— Мошенники традиционно очень быстро адаптируются под любые новые функции популярных платформ, особенно если речь идет о Telegram с его огромной аудиторией и высоким уровнем доверия пользователей к ботам и мини-приложениям. Мы регулярно получаем жалобы на горячую линию регионального общества «Центр интернет-технологий», в том числе на мошенничество с фейковыми чат-ботами, — отметил председатель комиссии РОЦИТ по облачным технологиям и информационной безопасности Михаил Шурыгин.
По словам эксперта, сегодня злоумышленники активно используют темы ИИ и автоматизации как наиболее привлекательную приманку для пользователей.
— Людям предлагают бесплатных ботов для сортировки сообщений, автоответов, интеграции с ИИ или ведения переписки. На практике под видом таких сервисов распространяется вредоносное ПО. Основная опасность заключается в том, что многие воспринимают Telegram как безопасную экосистему и теряют базовую цифровую осторожность, — пояснил Михаил Шурыгин.
Руководитель Лаборатории прикладного искусственного интеллекта СПб ФИЦ РАН Максим Абрамов считает, что новая схема вписывается в более широкий тренд роста атак на пользователей мессенджера.
— Telegram сегодня насчитывает около 100 млн активных пользователей в России ежемесячно, а востребованность сторонних инструментов остается высокой. Это делает платформу привлекательной целью для злоумышленников, — отметил эксперт.
Специалисты рекомендуют пользователям не скачивать программное обеспечение через неизвестных ботов, не передавать коды подтверждения и QR-коды для входа в аккаунт, использовать двухфакторную аутентификацию и регулярно проверять список активных сессий.