Telegram迷你应用钓鱼攻击:揭秘与防范指南

本文详细剖析了利用Telegram迷你应用进行钓鱼攻击的新型骗局运作机制,揭示了平台安全审核的缺失,并为用户提供了包括启用双因素认证、识别AI生成文本在内的多项关键防护措施。

Telegram迷你应用钓鱼:这与哈比布的帕帕哈帽有何关系? 我们剖析了一种利用Telegram迷你应用的新骗局,并解释如何避免上当。

承认吧:你一直想赶上最新的NFT变种——Telegram Gifts——但就是没抽出时间。这是当下最热门的趋势。开发人员正与像Snoop Dogg这样的名人合作,大量制作收藏图像。你所有朋友的个人资料都已装点着这些时髦的图片,而你渴望搭上这股潮流快车——但希望为此支付尽可能少的钱。

然后,事情发生了——一个陌生人在私信中向你发出了慷慨的提议:一个不花一分钱就能获得几个这类数字礼物的机会。一个看起来完全合法的机器人正在进行空投。在NFT世界中,空投是一种推广手段,会免费赠送少量新的加密资产。由于这些礼物的加密性质及其底层的NFT机制,这个流行词在Telegram上被采用。

限时优惠:营销人员的最爱…也是诈骗者的工具 他们声称免费提供这些礼物图片。之后你可以将它们附加到个人资料上,或使用Telegram的原生货币Toncoin出售它们。你甚至不需要点击外部链接。只需点击消息中的一个按钮,直接在Telegram内启动迷你应用,然后输入你的登录凭据。接着…你的账户会立即被劫持。你什么礼物也得不到,而且总体上,你只会感到沮丧而非庆祝。

今天,我们剖析一个利用Telegram内置迷你应用的钓鱼方案,并分享帮助您避免落入此类攻击的技巧。

新钓鱼方案如何运作 经典钓鱼的原理很简单:用户收到一个链接,指向模仿合法登录表单的假网站。当受害者输入其凭据时,这些数据直接落入诈骗者手中。然而,钓鱼策略在不断演变,这种新的攻击方式更加隐蔽。

不法分子直接在Telegram内创建钓鱼迷你应用。这些应用显示为标准的网页,但嵌入在消息应用的界面内,而不是在外部浏览器中打开。对用户来说,这些应用看起来完全合法。毕竟,它们是在官方的Telegram应用本身内运行的。

为了使其更具说服力,诈骗者通常会添加一个听起来合理的每用户礼物限额。 这导致受害者认为,“如果这个应用在Telegram内运行,那肯定对这些应用有某种审核流程。显然他们不会让明显的骗局通过吧?” 实际上,结果完全不是这样。

这种骗局为何会存在? Telegram迷你应用的一个核心安全问题是,平台在应用上线前几乎不进行审核。这与Google Play和App Store使用的严格审核流程大相径庭——尽管即使在那里,明显的恶意软件偶尔也会溜进去。

在Telegram上,对不法分子来说要容易得多。本质上,任何希望创建和启动迷你应用的人都可以这样做。Telegram不审查代码、功能或开发者的意图。这将一个拥有近十亿全球用户的消息服务中的安全缺陷,变成了一个全球范围的问题。更糟糕的是,Telegram内对这些迷你应用的审核完全是反应式的——意味着只有在用户开始投诉或执法部门介入后才会采取行动。

这是一个全球性的操作,钓鱼诱饵同时以俄语和英语分发。然而,俄语版本暴露了诈骗者的仓促和粗糙。他们忘记了移除生成文本的AI提出的澄清问题:“你需要更粗体、更官方还是更幽默的选项?”

在这种情况下,诱饵是来自UFC战士的“礼物”:免费赠送“帕帕哈帽”——Telegram与哈比布·努尔马戈梅多夫合作发布的传统达吉斯坦帽的数字礼物图像。这些物品确实进行过拍卖,帕维尔·杜罗夫甚至在他的X和Telegram上发帖(哈比布转发了这些公告,但在拍卖结束后删除了)。然而,只发布了29,000个这样的“帕帕哈帽”,不足以满足所有热切的粉丝。诈骗者抓住了机会,向粉丝保证他们可以免费获得这些独家物品。这次钓鱼活动是定向的——专注于在运动员频道活跃的用户。

诈骗者如何安抚受害者 犯罪分子利用了流行的Portals平台(Telegram内合法的游戏、应用和娱乐服务平台)的名称。他们创建了一系列在视觉上几乎与真实应用无法区分的迷你应用,并将其宣传为免费赠品——空投。

为了增加一层真实性,诈骗者甚至在钓鱼迷你应用的个人资料中列出了Portals的官方Telegram频道。然而,合法的Portals Market机器人有不同的用户名:@portals。 话虽如此,骗局活动本身显示出仓促和节省设计与文案成本的迹象——有明显的AI参与迹象。一些消息中包含明显由神经网络生成的剩余文本片段,诈骗者要么忘记了,要么懒得去编辑。

如何保护你的Telegram账户不被入侵 黄金安全规则很简单:保持警惕,并学习这些攻击的关键特征:

  • 验证来源。如果你收到一个承诺来自名人甚至Telegram本身的赠品链接,但发送者是不熟悉的账户或可疑的群组,不要点击。通过名人或公司的官方频道交叉核实,看他们是否真的在进行此类促销。
  • 检查账户验证徽章。确认蓝色的对勾标记是真实的,而不仅仅是表情符号状态或个人资料名称的一部分。你可以通过简单点击个人资料中的那个对勾图标来验证。如果是Premium表情符号状态,Telegram会明确告诉你。如果对勾表情符号只是简单地添加到个人资料名称中,点击它不会有任何反应。但如果账户确实是经过验证的,点击蓝色对勾会显示来自Telegram的官方确认消息。
  • 不要急于在迷你应用中认证。合法的Telegram应用通常不会要求你通过迷你应用内的表单重新登录。如果你被要求输入电话号码或验证码,那很可能是钓鱼尝试。
  • 寻找AI生成文本或设计的迹象。奇怪的语法、不自然的措辞,或消息中残留的神经网络提示都是危险信号。诈骗者经常使用AI生成工具来快速廉价地生成文本。
  • 启用两步验证(你的Telegram密码)。现在就去做:设置 → 隐私和安全 → 两步验证。即使诈骗者设法获取了你的电话号码和短信验证码,没有这个密码他们也无法访问你的账户。显然,永远不要与任何人分享你的密码——它只用于你登录自己的Telegram账户。
  • 使用通行密钥来保护你的账户。最近的Telegram更新增加了使用通行密钥安全登录的功能。我们已经详细介绍了在流行服务中使用通行密钥及其相关的注意事项。通行密钥使得恶意行为者几乎不可能窃取你的账户。你可以在设置 → 隐私和安全 → 通行密钥中进行设置。
  • 将你的密码和通行密钥存储在密码管理器中。如果你已用密码和通行密钥保护了账户,请记住,弱密码、重复使用的密码或已泄露的密码对于攻击者来说仍然可能是“垫子下的备用钥匙”——即使“前门”用通行密钥锁上了。因此,我们建议为Telegram创建一个强大、唯一的密码,并将其与你的通行密钥一起存储在Kaspersky密码管理器中。这可以确保你的凭据和密钥在所有设备上都可用。
  • 在你的智能手机上安装Kaspersky for Android。其新的反钓鱼技术可以保护你免受来自任何应用通知中嵌入的钓鱼链接的侵害。

如果你的Telegram账户已被盗,该怎么办? 关键是保持冷静并迅速行动。你只有24小时的时间来恢复账户,否则可能永久失去它。请按照我们文章《如果您的Telegram账户被黑该怎么办》中的分步指南来恢复访问。

最后,提醒一句已成为我们经典座右铭的话:如果一个好得令人难以置信的优惠,那它几乎肯定是假的。始终通过官方渠道核实信息,永远不要将你的密码或通行密钥输入到非官方的应用或表单中——即使它们看起来合法。保持警惕,注意安全。

想获取更多关于保护即时通讯账户和聊天的技巧吗?请查看我们的相关文章:

  • 即时通讯工具101:安全和隐私建议
  • 通过WhatsApp与其他平台互发消息:优缺点
  • WhatsApp和Telegram账户劫持:如何防范骗局
  • 如果你的WhatsApp账户被黑该怎么办
  • 如果你的Telegram账户被黑该怎么办
comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次