کمیته رکن چهارم – طرحی جدید از فیشینگ در مینیاپهای تلگرام با سوءاستفاده از ترند «هدایا» و نام مرتبط با پاپاخای حبیب، قربانیان را به وارد کردن اطلاعات حساب کرد و باعث ربوده شدن تلگرام کاربران شد.
به گزارش کمیته رکن چهارم، موج جدیدی از فیشینگ حرفهای در مینیاپهای تلگرام کاربران را هدف قرار داده است. این حمله که با وعده دریافت ایردراپ رایگان هدایای دیجیتال مرتبط با رویدادهای کلکسیونی همراه است، از ضعفهای امنیتی محیط مینیاپهای تلگرام سوءاستفاده کرده و منجر به سرقت حساب کاربران شده است.
کاربران با دیدن پیامهایی وسوسهانگیز درباره دریافت هدایای رایگان – از جمله NFTهای مرتبط با پاپاخای حبیب (تصویر دیجیتالی کلکسیونی منتشرشده با همکاری تلگرام و حبیب نورماگومدوف)، تشویق به باز کردن مینیاپ داخلی در تلگرام میشوند. در داخل این مینیاپ، از کاربران خواسته میشود اطلاعات ورود یا رمز عبور حساب خود را وارد کنند؛ اما پس از ثبت این اطلاعات، حسابها ربوده و تحت کنترل مهاجمان درمیآیند.
در این نوع حمله، مهاجمان از مینیاپهای فیشینگ داخلی تلگرام استفاده میکنند که از نظر ظاهری مشابه محیط رسمی هستند و در دل پیامرسان اجرا میشوند. برخلاف فیشینگ سنتی که کاربران را به وبسایتهای جعلی هدایت میکند، در این روش کاربر گمان میکند در محیط امن و رسمی تلگرام حضور دارد. افزون بر این، پیامهای فریبنده معمولاً با وعده «فرصت محدود» و «هدیه رایگان» همراه هستند تا قربانی را ترغیب به اقدام فوری کنند.
مشکل امنیتی اصلی اینجاست که تلگرام تا حد زیادی مینیاپها را قبل از انتشار بررسی نمیکند و عملاً هر توسعهدهنده میتواند بدون نظارت سختگیرانه، مینیاپی را منتشر کند. این ضعف در پلتفرمی با نزدیک به یک میلیارد کاربر، زمینه را برای سوءاستفاده کلاهبرداران فراهم میکند.
در نمونهای از کمپین فیشینگ، طعمهها به زبانهای روسی و انگلیسی منتشر شدهاند. نسخه روسی این مینیاپها حتی حاوی متنهای باقیمانده از تولید محتوا توسط هوش مصنوعی (مثلاً پرسشهایی مثل «آیا لحن رسمیتر، برجستهتر یا طنزآمیزتر میخواهید؟») بوده است که نشاندهنده عجله و بیدقتی طراحان است.
در این پرونده، مهاجمان از سرویس محبوب Portals نیز سوءاستفاده کردهاند و لینکهای جعلی مینیاپ را همراه با نام کانال رسمی این سرویس منتشر کردهاند؛ هرچند که ربات رسمی Portals نامکاربری متفاوتی دارد.
چگونه از هک شدن حساب جلوگیری کنیم؟
متخصصان امنیت توصیه میکنند کاربران هنگام مواجهه با وعدههای جایزه یا ایردراپ در تلگرام:
- منبع پیام را بررسی کنند: اگر پیام از حسابهای ناشناس میآید یا از منابع رسمی تأیید نشده، آن را نادیده بگیرند.
- تیک آبی حسابها را چک کنند: تیک آبی واقعی تلگرام قابل لمس بوده و اطلاعات رسمی نمایش میدهد.
- درخواست ورود اطلاعات در مینیاپها را جدی بگیرند: هیچ مینیاپ معتبر از شما درخواست رمز عبور یا Passkey نمیکند.
- به علامتهای هوش مصنوعی در متن توجه کنند: متنهای عجیب، گرامر ضعیف یا تکههای ناخوانا زنگ خطر هستند.
- تأیید دومرحلهای (Two-Step) و Passkey را فعال کنند: این تنظیمات امنیتی امکان هک حساب حتی با داشتن کد پیامک را بهطور جدی کاهش میدهند.
- استفاده از مدیر رمز عبور امن: ذخیره امن رمز و Passkey در ابزارهای معتبر از فیشینگهای آینده جلوگیری میکند.
