В сообщении будто бы составленном лидером Telegram содержался призыв к участию в промоакции в рамках «извинительной кампании», которая была инициирована в связи с приостановкой работы мессенджера.
От представителей международной компании Group-IB, предотвращающей кибератаки и разрабатывающей продукты для информбезопасности, стало известно, что сбой в работе мессенджера Telegram Павла Дурова был на руку мошенникам. Нескольких часов хватило для перевода на криптокошелек, рекламируемый фейк-аккаунтом Дурова в Twitter, для перевода 78,4568202 ETH, или $31 876. О том, чтобы заблокировать аккаунт сразу же, никто не подумал.
Все происходило так. По прошествии нескольких часов появления сбоев в работе Telegram (это произошло накануне около 11:00 мск), в ветке обсуждений соцсети Twitter в аккаунте Павла Дурова два раза было отмечено появление одного и то же сообщения, которое направил якобы сам лидер Telegram. В сообщении содержался призыв о присоединении к промоакции в рамках «извинительной кампании», которую инициировали в связи с приостановкой работы мессенджера. Запись тут же "увела" подписчиков Дурова на лже-аккаунт.
Пользователи были подкуплен тем, что юзерпик и имя владельца были точной копией официального аккаунта Дурова. Разница была заметна только после обращения внимания на само название аккаунта — @durhiov (в отличие от оригинального — @durov).
Прошедшие по ссылке подписчики, попадали на мошеннический сайт: ethg.st (регистрация домена - 26 марта), на котором был размещен анонс специальной акции, в рамках которой обещался выигрыш в виде криптовалюты — 5 тыс. ETH. Участие в лотерее требовало отправки от 0,5 ETH до 5 ETH по адресу, который был зашифрован в QR-коде на сайте, после чего участник мог просто ждать, когда ему дадут приз, равный 5-100 ETH. Отправителям свыше 1 ETH, был обещан щедрый бонус.
Анонс акции в лже-аккаунте набрала примерно 1 тыс. лайков и 45 репостов, чего хватило для того, чтобы за час мошенники, воспользовавшись падением Telegram, собрали порядка 78,4568202 ETH, или $31 876.
Чтобы эффект превзошел ожидания, мошенники разгоняли пост ботами, а это говорит о том, что акция была хорошо спланирована и злоумышленники были готовы быстро среагировать на события, поднимая посты и «накручивая ажиотаж». Важно и то, что пост в лже-аккаунте сопровождался комментариями, подписанными «счастливыми победителями», что только подталкивало сомневающихся к участию в лотерее.
По словам директора по спецпроектам Group-IB Руслана Юсуфова, это случай использования классической схемы социальной инженерии: мошенникам на руку сыграл неприятный инцидент для пользователей Telegram. Велика роль и доверия к лидеру Telegram, в ветке которого и было отмечено появление фальшивого аккаунта, внешне ничем не отличимого от комментариев из топика Павла Дурова. Радует, что число внимательных подписчиков в итоге перевесило, как и то, что они пытались предупредить других пользователей. Но мошенники все же сорвали свой куш - поверили им многие люди. Пока неясно точное количество использованных мошенниками кошельков, потому, скорее всего, ущерб нанесен немалый.
По словам основателя и главы мессенджера Telegram Павла Дурова, масштабный сбой произошел 29 марта в работе Telegram в России и странах Евросоюза случился из-за отключения электричества, которое подается к серверам компании в Европе.
