Чатский от ума
В Telegram открылись новые возможности для мошенников
Газета «Коммерсантъ» №75 от 28.04.2021, стр. 1
Появление платежных форм в каналах и чатах мессенджера Telegram спровоцирует рост мошенничеств и фейковых торговых площадок на платформе, полагают эксперты. По их мнению, злоумышленники также могут захватывать существующие площадки и подменять реквизиты для оплаты. Распространению фейков будет способствовать и то, что в мессенджере до сих пор отсутствует верификация каналов и аккаунтов, а значит, пользователь не может проверить, совершает ли он покупку у официального продавца.
Эксперты по информационной безопасности рассказали “Ъ” о новых рисках для пользователей мессенджера Telegram из-за введения там возможности принимать платежи в любом чате, включая каналы и группы. Это грозит распространением фейковых торговых площадок, считает гендиректор Infosecurity a Softline Company Кирилл Солодовников.
По мнению управляющего RTM Group Евгения Царева, создание фейковых точек продаж в Telegram будет носить массовый характер. Появятся, например, чаты и каналы якобы от лица известных людей с предложениями товаров и услуг, считает технический директор RuSIEM Антон Фишман. Он ждет и создания фейковых каналов брендовых магазинов. Кроме того, может вырасти число каналов и чатов, предлагающих принять участие в фейковых бонусных, скидочных и иных акциях, полагает господин Солодовников.
Возможность проведения платежей в любом чате, включая группы и каналы, Telegram ввел 26 апреля. Теперь продавцы могут принимать платежи кредитными картами с помощью встроенных платежных систем. Telegram не берет комиссии и не хранит платежную информацию, подчеркивается в официальном сообщении компании. Ранее оплата в Telegram была возможна только с помощью платежных ботов — эта функция появилась на платформе в 2017 году.
В Telegram вчера не ответили на вопрос “Ъ” об обеспечении безопасности нового сервиса. Ранее основатель Telegram Павел Дуров неоднократно говорил о безопасности мессенджера для передачи данных. По его словам, каждый чат в Telegram шифруется с момента запуска приложения: «У нас есть секретные чаты, являющиеся сквозными и облачными чатами, которые предлагают безопасное и распределенное облачное хранилище». При этом Telegram — единственный мессенджер, мобильные приложения которого не раскрывают IP-адрес пользователя при принятии им звонков, отмечал ранее господин Дуров.
Мошенники будут пользоваться тем, что в мессенджере отсутствуют какие-либо способы верификации каналов и аккаунтов, полагает директор блока экспертных сервисов Bi.Zone Евгений Волошин. Отсутствие «галочки» у официального канала или аккаунта станет основной причиной роста мошенничеств, связанных с введением функции платежей в Telegram, считает он.
Новые возможности мессенджера могут также спровоцировать захват существующих торговых площадок с последующей подменой платежных реквизитов, ожидают эксперты. Платежи в Telegram — это сочетание привычных мессенджера и интернет-магазина, говорит ведущий эксперт направления по информационной безопасности «Крок» Александр Черныхов.
Если полагаться на то, что мессенджер не хранит платежные данные, то с точки зрения кибербезопасности, по мнению Александра Черныхова, есть два вопроса: насколько надежна сама платежная система и в каком виде передаются данные от Telegram. «Например, не ясно, зашифрован ли исходящий трафик хотя бы на уровне протокола HTTPS»,— говорит он.
Наличие в Telegram-канале формы оплаты не гарантирует добросовестности, подчеркивает Кирилл Солодовников, поэтому перед совершением сделки покупателю следует проверить продавца. Поскольку в приложении будут использоваться встроенные платежные системы, то риски будут сравнимы с проведением оплаты на любых сайтах, считает главный эксперт «Лаборатории Касперского» Сергей Голованов.
На стороне компаний, которые обеспечивают платежную интеграцию, лежат большие риски: схема реализации этого платежного интерфейса (payment API) подразумевает интеграцию со сторонними сервисами, в которых бывают уязвимости, отмечает Евгений Волошин. «В нашей практике бывали примеры, когда payment API был реализован с дырами в безопасности: во время пентеста одной из таких интеграций выяснилось, что можно скачать список из номеров банковских карт тех, кто проводил платежи через этот интерфейс»,— рассказал он.
Мошенничества, связанные с Telegram, растут с начала года на фоне заявлений его основателя Павла Дурова о стремительном росте аудитории сервиса: в январе за три дня она увеличилась на 25 млн, а общее число пользователей превысило 500 млн. После этого владельцы известных Telegram-каналов под предлогом предложений о размещении рекламы стали получать вложения с вирусом, который позволяет похитить их учетные записи (см. “Ъ” от 25 января). Уже в феврале злоумышленники начали проводить фейковые рассылки от лица известных Telegram-каналов и персон, предлагая компаниям заплатить за размещение рекламы в них или отказ от публикации негатива. Введение возможности оплаты может только усугубить уже возникшие проблемы.