Telegram の韓国国内ユーザー数は2024年基準で300万人に上り、サイバー攻撃者もそれらの Telegram アカウントを窃取しようと躍起になっている。
AhnLab モバイル解析パートは、Telegram アカウントを窃取するための方法の一つであり、2023年から現在まで継続しているスミッシングキャンペーンを紹介する。
このキャンペーンは8月現在、[図1]のように被害者に「Telegram のポリシーに違反したため、リンクから再ログインを行うように」とのメッセージでテキストを送信する。
被害者がテキスト内のサイトリンクをクリックすると、実際の Telegram と類似したサイトにリダイレクトする。接続されたサイトアドレスのドメインは「telegram」に似せて製作された「taiegram」となっている([図2]参照)。
フィッシングサイトではユーザーの国と携帯電話番号の入力を要求し、入力するとインストールされている Telegram 内にログインコードが自動送信される。フィッシングサイトでは、送信されたログインコードを入力するよう要求する。
被害者がログインコードを入力すると攻撃者に転送され、ユーザーの Telegram アカウントが窃取されて個人情報や会話内容の流出、および2次被害を受けることがある。
スミッシングテキストの内容には「ポリシー違反」のほかにも「セキュリティの警告」、「アカウントの再認証が必要」、「アップデートが必要」などの様々なメッセージでフィッシングサイトへの接続を誘導するものがあり、ユーザーはこれらのスミッシング事例を認知して、Telegram 内に2次認証を適用するなど、格別の注意が要求される。