Такое сообщение пришло Змитру Казакевичу. Фото: его фейсбук
Сначала вам приходит сообщение якобы от службы безопасности. Там сказано, что аккаунт под угрозой из-за подозрительной активности, и предлагается перейти в бот.
Сразу можно заметить, что «отдел безопасности» почему-то зарегистрирован несколько месяцев назад в Мьянме, а несколько дней назад менял название и фото. Однако многие люди в стрессе не замечают очевидные красные флаги.
Если вы перешли в бот и стартовали его, вам предложат ответить на вопросы — угрожали ли вам, что удалят аккаунт, регистрировались ли вы на сайтах казино и сайтах с порно и приходил ли вам запрос об изменении языка.
Дальше бот предлагает указать телефон, к которому привязан аккаунт.
Скриншот из бота
Дальше вам приходит сообщение от телеграма о попытке входа. В боте это названо капчей, которую предлагают ввести. Если вы ввели ее, то появляется новое сообщение, где вам нужно ввести пароль двухфакторной аутентификации телеграма.
Скриншот из бота, которым воспользовались спецслужбы
Дальше бот входит в ваш аккаунт и сразу удаляет сообщение о входе — чтобы оставлять как можно меньше следов. Вам предлагается отметить галочку «Да, это я» в телеграме, чтобы дать разрешение на прочтение сообщений и чтобы внутренняя система защиты программы не выкинула бот мошенников из аккаунта.
Скриншот из бота, которыми пользуются спецслужбы Беларуси для взломов аккаунтов
Дальше бот начинает имитировать бурную деятельность — пишет сам себе в диалог с реальной поддержкой телеграма разную наукообразную чушь. Это нужно, чтобы задержаться в аккаунте и успеть скачать всю переписку.
Диалог бота с самим собой в диалоге с телеграмом
В итоге бот просто уговаривает пользователя собственноручно отдать номер телефона и коды авторизации для того, чтобы скачать все, что есть в аккаунте. Никаких других действий он не делает, все, что бот пишет — чушь. То есть тут нет никакой технической уязвимости.
Скорее всего, белорусские спецслужбы скачали какой-то готовый бот из тех, которые продаются для скамеров в интернете, купили американский виртуальный сервер и таким образом пытаются получить доступы к аккаунтам.
Возможно, они собрали бот сами из каких-то кусков — он часто работает криво, там плохо обрабатываются ошибки ввода и языка (например, он пишет все фразы на английском, если установлен белорусскоязычный интерфейс, но предлагает кнопки на русском языке).
Вот как выглядит бот в телеграме — он называется «telegram verification service 8.2.0» с маленьких букв
Таким образом, никаких новых уязвимостей такая атака не раскрывает. Стоит быть бдительными — не давать своих данных никому, кто представляется поддержкой телеграма или другого мессенджера или соцсети (они им не нужны), перепроверять контакты и быть осторожными с переходами по ссылкам. Здесь мы уже давали подобные советы — но, к сожалению, прошло три с половиной года, а простые трюки до сих пор работают.
