Как взламывают аккаунты в Telegram, Signal и Proton

Sig­nal и Pro­ton: эти сервисы кажутся максимально защищенными. Когда ваша работа завязана на эти сервисы, создается ощущение, что вы уже «в домике». К сожалению, это не так, скорее даже наоборот: именно в Sig­nal и Pro­ton  хакеры взламывают журналистов и активистов.

Изображение сделано БАЖ при помощи Chat­G­PT

Общепопулярный Telegram также является частой мишенью. Мы рассказываем ниже, как это происходит — и как не попасться на удочку злоумышленников. Это своего рода руководство по выживанию в нынешней агрессивной цифровой среде.

Как взламывают в Телеграме: 5 способов

Использование Telegram де-факто неизбежно в русскоязычной среде — что в личной, что в рабочей переписке. Мы расскажем ниже про пять главных методов, которыми прокремлевские злоумышленники пользуются для того, чтобы атаковать людей, неугодных российским властям.

1. «Вам подарили Telegram Premium»

В сообщении вам приходит подарок с подвохом:  «Получите бесплатную подписку Telegram Pre­mi­um – Жмите сюда». Переходя по такой ссылке, пользователь видит знакомый дизайн Telegram и форму ввода телефона, где его просят ввести код для подтверждения – якобы для активации подарка. На деле это умело сделанный фейк: введённый код уходит прямиком мошенникам. Вы думаете, что вас переадресовали на официальный сайт Telegram, а на самом деле вы находитесь на сайте атакующего, который записывает ваши данные.

2. Фейковая капча в Telegram

В начале 2025 года стало известно про случай, когда хакеры создали фейковый Telegram-канал от имени основателя Silk Road Росса Ульбрихта и использовали в нем поддельного CAPTCHA-бота. Вместо капчи — которая на самом деле вообще не используется в экосистеме Telegram — пользователи запускали у себя вредоносный скрипт, который позднее позволял их взломать.

Фишинговая псевдо-капча была выполнена в формате телеграм-бота. Скриншот: Bitdefender.com

 Telegram не использует CAPTCHA. Это фишинг.

3. «В вашем аккаунте обнаружена подозрительная активность. Подтвердите, что это вы»

Злоумышленники создают фейковые аккаунты с названиями вроде Telegram Sup­port, или Telegram Secu­ri­ty. Формально Telegram не разрешает использовать такие имена: за подделку можно схлопотать бан. Но атакующие обходят это: подменяют латинские буквы на похожие кириллические или используют символы вроде двойного нижнего подчеркивания.

Представьте: вам приходит сообщение от аккаунта с названием вроде «Telegram Noti­fi­ca­tions». Вас уверяют, что «ваш аккаунт замечен в подозрительной активности» или «скоро будет заблокирован». Чтобы предотвратить это, просят срочно сообщить код из SMS или перейти по ссылке и «подтвердить аккаунт». Вы сами, не подозревая обмана, передаете доступ к своему Телеграм-аккаунте. SMS действительно придёт от настоящего Telegram — потому что кто-то другой пытается войти не с вашего устройства.

Избегайте ботов, предлагающих действия вне Telegram-интерфейса — запуск скриптов может привести к компрометации устройства.

4. «Посмотри это прикольное видео»

Атакующие могут присылать вредонос, который отображается в чате как видеофайл; как правило, с кликбейтной подписью. Если пользователь пытается воспроизвести такое «видео», Telegram предлагает открыть его в стороннем плеере, что на самом деле запускает установку вредоносного приложения. Вы думаете: «Хм, какая-то ошибка, видео так и не заиграло», — и занимаетесь дальше своими делами, не подозревая, что ваше устройство уже заражено.

Хакеры также любят маскировать свои скрипты под такие виды файлов как:

• ZIP,
• RAR,
• XLS,
• DOCX,
• PDF.

Последняя новинка от взломщиков — присылать вредоносный файл с маскировкой под расширение .msi (Microsoft Installer).

5. «Тихий взлом» через десктопный Телеграм

Этот способ (угон сессии, Ses­sion Hijack­ing) особенно коварный и часто упускается из виду. Дело в том, что Телеграм на компьютере (Telegram Desk­top) хранит вашу сессию в специальной папке под названием Tda­ta. Эта папка содержит файлы сессии, которые позволяют войти в аккаунт без ввода пароля или кода двухфакторной аутентификации (2FA).

Стоит кому-то заразить ваш компьютер (например, если вы скачали и открыли зараженный файл, как в предыдущем пункте), как он может незаметно скопировать эту папку сессии. Затем злоумышленник открывает её у себя и получает полный доступ ко всем вашим чатам и файлам через кэш. Вы даже не поймете, что вас уже читают люди в погонах.

Увы, при «угоне сессии» хакер получает полный доступ к Телеграм-аккаунту атакуемого, включая все чаты, контакты и файлы. Сессии Telegram Desk­top технически — долгоживущие, что делает этот метод особенно опасным.

Как понять, что вас взломали в Телеграм:

• Вы видите, что Телеграм-сообщения от вашего собеседника уже прочитаны, хотя вы не помните, чтобы их открывали.
• Добавление в каналы и группы, к которым вы не присоединялись.
• Незнакомые разговоры в вашем списке чатов.
• Телеграм работает странно, с медленной производительностью.
• Неожиданные уведомления о входе в систему.
• Вас постоянно выбрасывает из Телеграма и приходится логиниться заново.
• Изменения в настройках аккаунта, которые вы не помните.

Чеклист того, что нужно сделать в Телеграме прямо сейчас (не дожидаясь атаки):

• Включите облачный пароль, если еще не сделали этого.
• Регулярно проверяйте раздел «Настройки > Приватность > Активные сессии» и смотрите, нет ли там странных сессий. Если видите незнакомый гаджет — срочно удалите его и поменяйте пароли.
• Не сообщайте никому свой код входа, даже если это «Telegram Sup­port».
• Не авторизуйтесь ни на каких сайтах через Telegram. Особенно будьте внимательны, если вас направляют на сайт конкурса, голосования, розыгрыша призов и денег.

Signalgate: иллюзия безопасности

Этой весной многие обсуждали скандал в США, который назвали Sig­nal­gate: тогда в секретный «военный чат» высокопоставленных чиновников в Sig­nal по ошибке попал главный редактор The Atlantic.

К репутации Sig­nal как “золотого стандарта” безопасных мессенджеров добавился неприятный осадок: секретные переговоры перестали быть конфиденциальными. В случае «Сигналгейта» фактор был в первую очередь человеческим, — создатель чата, минобороны США Пит Хегсет, сделал «военный чат» в субботу; при этом, по заявлениям членов его семьи, имеет проблемы с алкоголем.

Но технический фактор тоже присутствовал: досадную роль сыграл алгоритм iPhone, который неправильно “склеил” на айфоне контакты трамповского чиновника и журналиста. Речь идет о функции iOS, известной как «Предложения Siri» или «Обновление предложенных контактов», которая нередко по ошибке объединяет телефоны разных людей в одну запись.

На этом проколы американского правительства с Сигналом не закончились: в мае выяснилось, что вместо нормального Сигнал-мессенджера советник Трампа по национальной безопасности Майк Уолтц использовал TeleMes­sage — неофициальный Сигнал-клиент с дополнительными функциями. Хакеры взломали TeleMes­sage, получив секретные переписки 60 американских чиновников, после чего Майк Уолтц был уволен Трампом.

«Сигналгейт» дает полезные уроки не только американским чиновникам, но и всем, кто ведет сенситивные переписки в Sig­nal:

1. Создавайте важные Сигнал-чаты только на свежую голову и в рабочее время.
2. Отключите на смартфоне функцию автоматического объединения и предложения контактов. Для iPhone: Set­tings > Con­tacts > Отключить Siri Sug­ges­tions; для Android: contacts.google.com > отключить Merge Con­tacts.
3. Качайте только официальную версию Сигнала с официального сайта signal.org.

Как хакеры ГРУ взламывали Signal в Восточной Европе

Об этом рассказала в феврале 2025 года «Группа Google по анализу угроз» (Google Threat Intel­li­gence) в своем отчете «Сигналы тревоги: связанные с Россией хакерские группы атакуют мессенджер Sig­nal». В нем она рассказывает, что Сигнал-взломами на постоянной основе занимаются хакерские группы Sand­worm и Seashell Bliz­zard, связанные с Главным разведовательным управлением РФ.

Эксперты, которые занимались изучением этих кейсов, обнаружили четыре вида взломов:

1. Через QR-код и Linked Devices

В данном случае хакеры использовали уязвимость функции Sig­nal «Связанные устройства» (Linked Devices), которая позволяет подключить к вашему аккаунту до 5 устройств через сканирование QR-кода. Хакеры выдавали QR-код за приглашения в группу.

QR выглядит легитимно, однако в реальности в нём зашит не инвайт, а команда подключить новое устройство. Пользователь, сам того не зная, сканирует «троянский» QR.

— Все будет работать точно так же, как и всегда, за исключением того, что когда вы сканируете QR-код, он мгновенно привязывает к вашему Сигналу постороннее устройство, — говорит Дэн Блэк, исследователь кибершпионажа Google и бывший аналитик НАТО. — После этого все ваши Сигнал-сообщения в режиме реального времени доставляются злоумышленнику.

К счастью, после того, как Sig­nal Foun­da­tion узнали об этой проблеме, они выпустили обновление, которое защищает от таких атак (данные Wired). Теперь при привязке нового устройства приложение не только требует ввести код-пароль или использовать Face ID/Touch ID, но и дополнительно переспросит через несколько часов: действительно ли вы хотите продолжать делиться сообщениями с этим новым устройством.

2. Через поддельную страницу веб-приглашения в Sig­nal-группу

Вот как выглядит фишинговая страница Сигнал-инвайта:

Как вы видите, страница ничем не отличается от настоящей; веб-адрес тоже выглядит легитимно. Однако в такие поддельные приглашения был вшит вредоносный код JavaScript. Скриншот: Google Threat Intel­li­gence Group.

Технически хакеры подменяли часть JavaScript-кода страницы на вредоносный, и вместо безопасного перенаправления в чат у пользователя активировалась функция «подключить новое устройство». В итоге Sig­nal «думал», что вы сами добавили себе новый планшет или ноутбук, а на самом деле доступ получал хакер.

3. Через передачу зараженного файла в Сигнале

Этот способ более редкий и требует от злоумышленников больше технических усилий. Как сообщают Detector.Media, кремлевские силы использовали его против украинских военных. Через отправку документа Word/Excel/RAR или других исполняемых файлов через Sig­nal злоумышленники смогли скрыто следить за экраном, делать скриншоты и перехватывать нажатие клавиш на клавиатуре. Вот как выглядит подобная атака:

Скриншот: Detector.Media

4. Через фейк-аккаунты Сигнала: выдача себя за саппорт

В докладе Google упоминается, что российские хакеры создавали фишинговые страницы, которые выглядели как официальное уведомление от Sig­nal об угрозе безопасности.

Как выглядит подобное сообщение о «взломе» от фейкового Sig­nal Sup­port Team. Скриншот: Detector.Media

Осторожно: ваш коллега в Сигнале может быть фальшивкой

Вот что рассказала Теплице по этому поводу Наталья Крапива, юристка активистской организации Access Now. В коллаборации с Cit­i­zen Lab, Первым Отделом, и другими организациями в 2024 году Access Now расследовали  атаки хакерской группы ColdRiv­er, связанной с ФСБ, на российских и беларуских активистов и журналистов. Позже Microsoft, при участии Access Now добились блокировки  66 доменов, используемых для атак.

«В недавних кейсах мы наблюдали, как злоумышленники использовали Sig­nal для атак. Sig­nal воспринимается активистами и журналистами как защищённое пространство, и этим пользуются атакующие.

Они создают фальшивые профили, имитируя известных активистов или коллег, и отправляют сообщения с просьбой открыть ссылку или файл. Фейковые Sig­nal-аккаунты убедительно маскируются под ваших коллег: с логотипами и именами организаций, и реалистично выглядящими ссылками на фальшивые документы.

Хакеры эксплуатируют следующую уязвимость Сигнала:

— Они пользуются тем, что Sig­nal сделал анонимными профили – не видно ни номера, ни юзернейма. — говорит Наталья. — Они просто подменяют логотип организации или фото человека и пишут: «Я писал тебе емейл, но ты не ответил. Дублирую здесь, в Сигнале».

Простой способ, который часто игнорируют: проверка по параллельному каналу

Наталья напоминает о простом, но эффективном (и часто забываемом) способе: если вы получили важное сообщение или письмо, перепроверьте, не фишинг ли это, через “параллельный канал”:

— Лучше сначала проверить внутри своей организации, действительно ли мы ждем сообщения от такой-то организацией. Также можно написать человеку по альтернативному каналу связи, чтобы убедиться, действительно ли он или она это отправили.

Наши советы тем, кто общается в Сигнале:

• Проверьте подключенные устройства: в настройках Sig­nal это раздел Linked Devices (Подключенные устройства) — Edit (Редактировать). Проверьте дату линкования устройств и время их последней активности. Если это не совпадает с тем, как вы помните события — срочно отзовите доступ этого устройства.
• Обновите приложение: Убедитесь, что у вас установлена последняя версия Sig­nal (например, v7.44.0 от 06 июня 2025 г.)
• Поставьте Reg­is­tra­tion Lock (Set­tings — Account — Reg­is­tra­tion Lock). Хоть Сигнал и ввел защитные меры, это защитит вас от потенциальных атак через «Связанные устройства».
• На всякий случай не сканируйте вообще QR-коды приглашений и не принимайте инвайты нигде, кроме как в приложении Sig­nal на смартфоне.

Как взламывают с помощью поддельного Proton Drive

Для многих российских активистов Pro­ton­Mail и Pro­ton Dri­ve стали символами защищённости и приватности. Но именно эта уверенность и привлекает внимание кремлёвских хакеров.

Одна из любимых тактик взломщиков — фальшивые письма от имени Pro­ton­Mail. Письмо может выглядеть как официальное уведомление службы поддержки о «проблеме безопасности».

Самая известная атака такого типа была направлена на команду расследователей Belling­cat. Тогда российские хакеры (Fan­cy Bear) создали десятки фейковых доменов, которые невозможно было отличить от оригинальных на глаз.

Также в случае с антивоенными активистами ГРУ-шные хакеры использовали поддельный Pro­ton Dri­ve — страницу, визуально неотличимую от оригинала. Наталья Крапива из Access Now рассказывает:

— Это был не настоящий сервис Pro­ton, а специально сделанная пустышка, которая выглядит точь-в-точь как Pro­ton Dri­ve. Активист переходил по ссылке, считая, что это защищённый обмен файлами — а на деле вводил логин на стороне злоумышленника.»

Как защититься от атак в Протоне?

– Включите двухфакторную аутентификацию в настройках Pro­ton.
– Регулярно проверяйте журнал активности Pro­ton («Secu­ri­ty Events»).
– Особенно будьте настороже, если вам присылают ссылку на Pro­ton Dri­ve.