Изследователите в областта на киберсигурността обръщат внимание на „демократизацията“ на екосистемата за фишинг, която се дължи на появата на Telegram като епицентър за киберпрестъпления, позволяващ на  заплахите да организират масова атака само за 230 долара.

„Това приложение за изпращане на съобщения се превърна в оживен център, в който както опитни киберпрестъпници, така и новаци обменят незаконни инструменти и информация, създавайки тъмна и добре смазана верига за доставка на инструменти и данни на жертвите“, казват в нов доклад изследователите от Guardio Labs Олег Зайцев и Нати Тал.

„Безплатни образци, наръчници, комплекти, дори хакери под наем – всичко, което е необходимо за изграждането на цялостна злонамерена кампания от край до край.“ Компанията също така описва Telegram като „рай за измамниците“ и „развъдник на модерни фишинг операции“.

Това не е първият път, в който популярната платформа за съобщения попада под радара за улесняване на злонамерени дейности, които отчасти са обусловени от нейните леки усилия за модериране.

В резултат на това онова, което преди беше достъпно само във форуми с покани в тъмната мрежа, сега е лесно достъпно чрез публични канали и групи, като по този начин отваря вратите на киберпрестъпността за начинаещи и неопитни киберпрестъпници.

През април 2023 г. Kaspersky разкрива как фишерите създават канали в Telegram, за да обучават начинаещите на фишинг, както и да рекламират ботове, които могат да автоматизират процеса на създаване на фишинг страници за събиране на чувствителна информация, като например данни за вход.

Един такъв злонамерен бот в Telegram е Telekopye (известен още като Classiscam), който може да създава измамни уебстраници, имейли, SMS съобщения, за да помогне на  заплахите да извършат мащабни фишинг измами.

Гуардио каза, че градивните елементи за изграждане на фишинг кампания могат лесно да бъдат закупени от Telegram – „някои се предлагат на много ниски цени, а някои дори безплатно“ – като по този начин се дава възможност за създаване на измамни страници чрез фишинг комплект, хостване на страницата на компрометиран уебсайт WordPress чрез уеб обвивка и използване на пощенски оператор със задна врата за изпращане на имейл съобщения.

Backdoor mailers, продавани в различни групи на Telegram, представляват PHP скриптове, инжектирани във вече заразени, но легитимни уебсайтове, за да изпращат убедителни имейли, използвайки легитимния домейн на експлоатирания уебсайт, за да заобиколят филтрите за спам.

„Тази ситуация подчертава двойната отговорност на собствениците на сайтове“, казват изследователите. „Те трябва да защитят не само своите бизнес интереси, но и да се предпазят от това платформите им да бъдат използвани от измамници за хостинг на фишинг операции, изпращане на измамни имейли и извършване на други незаконни дейности, като всичко това е неизвестно за тях.“

За да увеличат още повече вероятността за успех на подобни кампании, цифровите пазари в Telegram предоставят и така наречените „писма“, които представляват „експертно разработени, брандирани шаблони“, благодарение на които имейл съобщенията изглеждат възможно най-автентични, за да подмамят жертвите да кликнат върху фалшивата връзка, сочеща към измамна страница.

Telegram е домакин и на масиви от данни, съдържащи валидни и подходящи имейл адреси и телефонни номера, към които да се насочат. Наричани „потенциални клиенти“, те понякога се „обогатяват“ с лична информация като имена и физически адреси, за да се постигне максимално въздействие.

„Тези лийдове могат да бъдат невероятно специфични, пригодени за всеки регион, ниша, демографска група, конкретни клиенти на компанията и др.“, казват изследователите. „Всяка част от личната информация допринася за ефективността и достоверността на тези атаки“.

Начинът, по който се изготвят тези списъци с потенциални клиенти, може да се различава при различните продавачи. Те могат да бъдат набавени или от форуми за киберпрестъпност, които продават данни, откраднати от нарушени компании, или чрез съмнителни уебсайтове, които призовават посетителите да попълнят фалшиво проучване, за да спечелят награди.

Друг важен компонент на тези фишинг кампании е начинът за монетизиране на събраните откраднати данни, като се продават на други престъпни групи под формата на „логове“, което носи на  заплахите 10-кратна възвръщаемост на инвестициите им въз основа на броя на жертвите, които в крайна сметка предоставят валидни данни на измамната страница.

„Удостоверителните данни за акаунти в социални медии се продават само за един долар, докато банковите сметки и кредитните карти могат да бъдат продадени за стотици долари – в зависимост от тяхната валидност и средства“, казват изследователите.

„За съжаление, само с малка инвестиция всеки може да започне значителна фишинг операция, независимо от предварителни познания или връзки в престъпния свят.“