Un mesaj trimis de pe numărul scurt 1762 ne anunță existența unor „aspecte suspecte” la contul destinatarului și include un link pentru verificare. La accesare, utilizatorul este redirecționat către un site care reproduce identitatea vizuală Telegram și solicită introducerea numărului de telefon, urmată de codul de autentificare. În realitate, este un atac de tip smishing, o formă de phishing distribuită prin SMS, concepută pentru preluarea conturilor.
Mecanismul atacului
Atacul analizat urmează un scenariu standardizat, optimizat pentru rapiditate și pentru exploatarea reacțiilor imediate ale utilizatorilor. Mesajul este scurt, vag formulat și creează o stare de urgență. Linkul inclus nu aparține domeniului oficial telegram.org, însă pagina către care redirecționează copiază structura și textele unei pagini legitime.
Secvența este previzibilă și eficientă:
▣ SMS cu avertizare privind activitate suspectă
▣ Redirecționare către un domeniu fără legătură cu Telegram
▣ Interfață clonată care solicită numărul de telefon
▣ Solicitarea codului de verificare primit în aplicația reală
▣ Utilizarea codului în timp real pentru autentificare frauduloasă
În momentul în care utilizatorul introduce codul pe site-ul fals, atacatorul îl folosește imediat pentru a se conecta la cont. Codul are valabilitate limitată, ceea ce explică presiunea implicită din mesaj.
De ce funcționează încă funcționează schema aceasta?
Numerele scurte, precum 1762, pot crea impresia unui expeditor legitim. În plus, utilizatorii acordă în mod frecvent mai multă încredere mesajelor primite pe telefon decât emailurilor.
1762 este un număr scurt folosit ca identificator de expeditor în sistemele de trimitere SMS, administrat de companii specializate în mesagerie, iar un atacator poate trimite mesaje fie cumpărând direct pachete de SMS de la astfel de furnizori, fie folosind un provider din altă țară care livrează mesajele printr-un partener local din România, astfel încât simpla afișare a unui număr scurt nu confirmă identitatea reală a celui care a inițiat trimiterea, motiv pentru care unele organizații își înregistrează un nume alfanumeric propriu ca expeditor, pentru a preveni utilizarea abuzivă a unui cod numeric generic.
Interfața clonată reproduce elemente vizuale familiare. Termeni precum „Account Compliance Check” și instrucțiuni standard de verificare sunt utilizați pentru a consolida impresia de autenticitate. Diferența esențială rămâne adresa web, care nu aparține domeniului oficial.
Obiectivul final
Scopul atacului este preluarea contului. Odată obținut accesul, atacatorul poate trimite mesaje în numele victimei, poate accesa conversații sau poate lansa atacuri suplimentare către contactele din listă. În unele cazuri, conturile compromise sunt folosite pentru propagarea altor campanii frauduloase.
Impactul nu este limitat la pierderea accesului. În funcție de informațiile existente în conversații, pot apărea consecințe reputaționale sau financiare.
Indicatori de fraudă
Analiza cazului evidențiază câteva semnale clare:
▣ Domeniul nu este cel oficial al platformei
▣ Mesajul este generic și nu oferă detalii concrete
▣ Codul de verificare este solicitat pe un site accesat prin SMS
▣ Formularea sugerează urgență sau risc iminent
Platformele legitime nu solicită introducerea codurilor de autentificare pe pagini externe. Codul este destinat exclusiv procesului de autentificare în aplicația oficială.
Măsuri recomandate
În situația în care linkul a fost accesat, dar codul nu a fost introdus, contul nu este compromis. Dacă și codul a fost transmis, este necesară intervenția imediată din aplicația oficială:
▣ verificarea sesiunilor active
▣ revocarea dispozitivelor necunoscute
▣ activarea autentificării în doi pași
▣ setarea unei parole suplimentare
Rapiditatea reacției reduce semnificativ riscul de utilizare abuzivă a contului.
Cazul SMS-ului transmis de pe 1762 este o campanie clasică de smishing, orientată către capturarea codurilor de autentificare și preluarea conturilor Telegram. Atacul nu exploatează o vulnerabilitate tehnică a platformei, ci lipsa de verificare a domeniului și reacția rapidă a utilizatorului la un mesaj alarmant.
Verificarea adresei web și refuzul de a introduce coduri de autentificare pe site-uri externe rămân măsuri suficiente pentru a preveni acest tip de incident.
În opinia noastră, acest SMS pare mai degrabă un test tehnic prin care cineva își validează infrastructura de smishing, deoarece mesajul este redactat superficial, iar domeniul utilizat este evident necredibil, ceea ce indică o fază de probă, nu o campanie matură și bine optimizată.
