Це буде стаття про черговий фішинг. Наче вже написано багато, і додавати нема чого, але все ж таки, приблизно раз на пару тижнів до мене звертаютсья різні люди з проханнями або допомогти повернути акаунт, або захистити після невдалої атаки. Нормально не розбиратись, нормально не знати, ненормально не вчитись и не повтрювати навчене. Буквально нещодавно я читав чергову лекцію щодо фішингових сайтів, і мені не вистачало контенту для презентації. Минає тиждень — і контент приходить сам до мене! Зазвичай я такі повідомлення одразу видаляю або гнорую, але тут вирішив детально і повільно розібрати те що я зазвичай роблю не задумуючись.

Отже, це таргетований фішинг, бо звернення дійсно за моїм ім'ям. Хтось злив моє ім'я та номер телефону.

На сайті пропонують мирно і без гарячки пройти якийсь конкурс для дітей чи накшталт. Що ж, вірю, повірив. Переходжу за невідомим посиланням, і дивлюсь що там.

Ха-ха-ха, пожартував) Спочатку перевіряю його на справжність. НордВПН та ТрансперенсіРепорт кажуть, що посилання надійне. Але це лише обгортка: при переході за ним відкривається наступний сайт, і там уже є проблеми. Але незначні, тому я продовжую. Що цікаво: при спробі перейти за цим посиланням сьогодні - відкриваєтсья безпечний сайт instagram.com. Чому так - розкажу в кінці.

При переході по посиланню нас зустрічає дитячий конкурс, без імен, дат, контактів та адрес. Навіть не вистачило фантазії на якісь інші призи окрім першого, але ж немає часу! Треба терміново збирати комусь на лікування від усіх хвороб!! Немає часу думати, треба терміново рятуйте одну дитину з шести! (на інші п'ять всім плювати, помруть смертю хворих). І навіть нагенеровані якоюсь китайською нейронкою (GPT так не вміє) "дитячі малюнки" мене переконують у справжньості цього фарсу.

Натиснувши на один з варіантів дитячих малюнків (скрін робився пізніше, вибачаюсь за російську, довелось ганяти ВПН) я потрапляю в "меню верифікації користувача", який пропонує мені верифікуватись через код отриманий в телеграм. Це була настільки очевидна пастка, що я вирішив у неї потрапити чисто з принципу (вибачаюсь перед тими, хто впізнав відсилку) і я переходжу за посиланням.

Підсумок: переходячи за посиланням і виконуючи якісь дії, ви втрачаєте доступ до акаунта Телеграм, підключаючи іншого користувача до вашого акаунта.Далі він перехоплює керування, викидає вас і починає розсилати свій спам далі, копіює листування для шантажу, витягує паролі тощо.

Для мене це просто як дихання, для когось це складно, треба вчитись.  Чому ж зараз сайт не працює: спамер викупає пачку доменів типу tetrax[.]click по1.5 долара, і вішає сайт на сервер cloudflare, який швидко його заблокує якщо посипляться скарги.

При тому cloudflare може заблокувати йому доступ повністю та й так, що він не зайде на нього навіть через ВПН, і джерело доходу зникне. Тому отримавши перехід на верифікацію за моєю ір-адресою - він ховає свою "подєлку", створюючи безпечне посилання на інстаграм, щоб я не зміг поскаржитись на нього. Якщо хтось хоче подивитись самостійно - ось посилання на згадку: ukr-childs[.]tetrax[.]click/ua-kindness (в кінці може бути /1 або /6), для перегляду - приберіть прямокутні скобки. Не ведемось на фігню, тримаємо стрій!