Целенаправленная атака начинается с того, что блогеру пишет якобы представитель крупной компании в области онлайн-ретейла и предлагает рекламное сотрудничество. В ходе общения злоумышленники придерживаются стандартной схемы делового общения для таких взаимодействий. Менеджер рассказывает, что блогер может выбрать любые позиции, представленные на площадке, устроить распаковку для подписчиков и разместить ссылки на товары у себя в аккаунте. Дальше в диалоге обговаривается стоимость рекламной интеграции. Если блогер соглашается на условия и подбирает товары, представитель бренда заявляет, что отправляет их на согласование с руководством. Переписка с фальшивым менеджером может длиться несколько дней.
На определённом этапе блогера просят зарегистрироваться на сайте партнёрской программы и присылают ссылку на ресурс — разумеется, поддельный. Он выглядит правдоподобным: на нём размещены логотип, описание партнёрской программы и бонусов, которые получают её участники. На фишинговой странице блогеру нужно указать ФИО, адрес почты, число подписчиков и охваты канала, а также номер телефона. Однако после этого человека автоматически перенаправляют на фальшивую форму авторизации в Telegram и просят ввести одноразовый код для входа в Telegram-аккаунт. В некоторых случаях необходимость в такой информации объясняют якобы новыми требованиями закона о рекламе. Если человек введёт эти данные, они уйдут злоумышленникам, и с их помощью фишеры смогут получить доступ к учётной записи в мессенджере и ко всем Telegram-каналам, привязанным к ней.
«Отдельные элементы этой кампании указывают на то, что она таргетированная и направлена именно на блогеров. Украденные аккаунты злоумышленники могут использовать для шантажа, размещения своего контента или дальнейших мошеннических схем. Блогерам приходят десятки рекламных предложений в день, поэтому они могут не заметить подвоха. Злоумышленники, в свою очередь, разрабатывают легенды так, чтобы усыпить бдительность потенциальных жертв, например ссылаются на нормативные акты и корпоративную политику. Однако просьба передать конфиденциальные данные, к которым относится в том числе пароль и одноразовый код из СМС или push-уведомления, должна сразу насторожить», — сказала Ольга Свистунова, старший контент-аналитик «Лаборатории Касперского».
Ранее «Телеспутник» писал, что были выявлены массовые атаки на представителей крупного российского бизнеса и государственных организаций, в основе которых лежат методы социальной инженерии, об этом сообщили в компании BI.ZONE. Злоумышленники связываются с сотрудниками, используя поддельные аккаунты в Telegram, которые содержат ФИО и фотографии топ-менеджеров.
