严重性：中 类型：网络钓鱼

一场新的钓鱼活动正利用Telegram的Mini Apps功能，通过在Telegram界面内创建虚假的赠品应用来窃取用户凭据并劫持账户。攻击者冒充合法的服务和名人，提供免费的数字礼物（类NFT物品）来诱骗受害者在Telegram内直接输入登录信息。由于Telegram对Mini Apps缺乏审查，恶意应用得以轻易发布，这使得该威胁具有可扩展性。这些钓鱼应用在Telegram内运行，看起来极具说服力，误导用户信任它们。该活动针对活跃在特定频道的用户，利用社交工程和AI生成的文本来显得真实。建议用户核实来源、仔细检查验证徽章、避免在Mini Apps内重新认证、启用两步验证和通行密钥，并使用密码管理器。该威胁严重性为中等，因为可能导致账户被接管，但需要用户交互，且并未利用Telegram自身的技术漏洞。

技术分析摘要

此钓鱼威胁利用了Telegram的Mini Apps平台，该平台允许开发者创建嵌入式的Web应用程序，直接在Telegram客户端内运行，无需跳转至外部浏览器。与应用商店严格的审查不同，Telegram Mini Apps在上线前几乎没有或仅进行极少的审查，使得攻击者能够轻松发布恶意应用。该骗局涉及虚假的数字收藏品赠品（例如与哈比布·努尔马戈梅多夫等名人相关的“papakhas”这类NFT风格的“礼物”），通过直接消息或频道帖子进行推广。受害者被诱使在Telegram内启动一个Mini App，并将登录凭据输入到应用内嵌的钓鱼表单中。由于应用在Telegram内运行，用户会错误地信任其合法性。攻击者还模仿了Portals等合法平台，甚至引用官方Telegram频道以增加可信度。钓鱼信息有时会包含AI生成的文本痕迹，表明内容是仓促或自动化生成的。一旦凭据被提交，攻击者就会劫持Telegram账户，可能获取私聊、联系人以及关联服务的访问权限。Telegram的被动审核机制意味着恶意Mini Apps在被举报之前会一直保持在线状态。该活动使用多语言（俄语和英语），并针对对特定频道或数字资产感兴趣的用户。缓解措施侧重于用户警惕性、核实来源和徽章、启用双因素认证和通行密钥，以及避免在Mini Apps中输入凭据。该威胁并未利用软件漏洞，而是滥用了Telegram的平台设计和用户信任。

潜在影响

对于欧洲组织而言，主要风险是员工Telegram账户被盗，这可能导致敏感通信被未经授权访问、利用被劫持账户发动社交工程攻击，以及如果Telegram被用于商业通信或身份验证，还可能产生潜在的横向移动。如果攻击者冒充员工，账户接管还可能助长欺诈、数据泄露或声誉损害。鉴于Telegram在欧洲个人和职业领域的普及，特别是在媒体、技术和金融等行业，被入侵的账户可能会扰乱运营并泄露机密信息。该钓鱼活动依赖社交工程，这意味着安全意识培训较少的组织更容易受到攻击。此外，攻击者可能利用被劫持的账户来针对企业联系人或传播恶意软件。缺乏技术漏洞利用降低了大规模自动化入侵的风险，但增加了用户教育和账户安全防护的重要性。

缓解建议

1. 教育员工了解Telegram Mini Apps钓鱼的风险，强调合法的Telegram服务很少需要在Mini Apps内重新认证。
2. 培训用户通过检查官方Telegram频道并通过点击蓝色对勾来验证账户徽章，以核实赠品优惠的真实性。
3. 强制使用Telegram的两步验证（密码）和通行密钥，以增加强大的账户保护层。
4. 鼓励使用密码管理器来生成和存储强而唯一的密码和通行密钥。
5. 制定组织政策，限制将Telegram Mini Apps用于关键业务通信，或要求IT部门批准。
6. 部署具有反钓鱼功能的终端安全解决方案，可检测应用内的恶意链接或嵌入式钓鱼尝试。
7. 监控账户被盗迹象，例如异常登录活动或从员工账户发送的未授权消息。
8. 建立事件响应程序，以便快速恢复被入侵的Telegram账户，包括立即重置密码和通知联系人。
9. 对主动提供的优惠，尤其是承诺免费数字资产或要求输入凭据的优惠，保持怀疑态度。
10. 与Telegram支持部门和执法机构合作，及时报告并取缔恶意的Mini Apps。

受影响国家 德国、英国、法国、意大利、西班牙、荷兰、比利时、波兰、俄罗斯、土耳其