Целенаправленная атака начинается с того, что блогеру пишет якобы представитель крупной компании в области онлайн-ретейла и предлагает рекламное сотрудничество. В ходе общения злоумышленники придерживаются стандартной схемы делового общения. Менеджер рассказывает, что блогер может выбрать любые позиции, представленные на площадке, устроить распаковку для подписчиков и разместить ссылки на товары у себя в аккаунте.
Дальше в диалоге обговаривается стоимость рекламной интеграции. Если блогер соглашается на условия и подбирает товары, представитель бренда заявляет, что отправляет их на согласование с руководством. Переписка с фальшивым менеджером может длиться несколько дней.
На определённом этапе блогера просят зарегистрироваться на сайте партнёрской программы и присылают ссылку на поддельный ресурс. Он выглядит правдоподобным: на нём размещены логотип, описание партнёрской программы и бонусов, которые получают её участники. На фишинговой странице блогеру нужно указать ФИО, адрес почты, число подписчиков и охваты канала, а также номер телефона. Однако после этого человека автоматически перенаправляют на фальшивую форму авторизации в Telegram и просят ввести одноразовый код для входа в Telegram-аккаунт.
В некоторых случаях необходимость в такой информации объясняют «новыми требованиями закона о рекламе». Если человек введёт эти данные, они попадут в руки злоумышленников, которые смогут получить доступ к учётной записи в мессенджере и ко всем Telegram-каналам, привязанным к ней.
Старший контент-аналитик «Лаборатории Касперского» Ольга Свистунова рассказала:
Отдельные элементы этой кампании указывают на то, что она таргетированная и направлена именно на блогеров. Украденные аккаунты злоумышленники могут использовать для шантажа, размещения своего контента или дальнейших мошеннических схем. Блогерам приходят десятки рекламных предложений в день, поэтому они могут не заметить подвоха.