Фишинг через Telegram: схема с «голосованием» и угоном аккаунта

Одна из распространённых схем фишинга в Telegram — это атаки под видом онлайн‑голосований. Пользователю приходит сообщение с просьбой поддержать участника конкурса (например, детских рисунков) и перейти по ссылке. К сожалению, эта схема реально действует и использует сайты вроде risunki-sveta.space.

Далее пользователь попадает на сайт, визуально оформленный как страница конкурса. В качестве примера — https://risunki-sveta.space/rus-deti/5, где размещена информация о «конкурсе» и кнопка «Перейти к голосованию».

После нажатия на кнопку предлагается выбрать участника. Этот шаг нужен для вовлечения пользователя и имитации реального процесса голосования.

Следующий этап — редирект на промежуточную страницу (например, https://risunki-sveta.space/rus-deti/c0zoJML), после чего открывается фишинговая форма, имитирующая авторизацию Telegram (https://risunki-sveta.space/rus-deti/H3uwg4h?swfix=3).

На поддельной странице пользователю предлагается ввести номер телефона или выполнить вход через QR-код. Визуально форма максимально приближена к оригинальному интерфейсу Telegram, что снижает вероятность подозрений. После ввода данных или сканирования QR-кода злоумышленники получают доступ к аккаунту, который далее используется для рассылки аналогичных сообщений и масштабирования атаки.

Помимо самой страницы с голосованием, в этой схеме работают ещё несколько скрытых «механизмов». Например, данные жертвы отправляются на адреса https://venus.risunki-sveta.space/apiw1 и https://kws2.risunki-sveta.space/apiws, а специальный JavaScript (https://risunki-sveta.space/f68c4324c5414ef0876c4ad5c5ca6345202ae0dcf9dee56332daaa6e9e3e5a1e/H3uwg4h/3b9vlz7pze51.js) обрабатывает ввод, делает форму «живой» и передаёт всё злоумышленникам. То есть это не просто