WordPress-админов ловят на страхе потери домена: как Telegram стал новым сервером для фишеров

Владельцев сайтов на WordPress сейчас ловят на самый простой и самый болезненный крючок. Вам пишут примерно следующее: вы забыли продлить домен, завтра сайт отключится, срочно оплатите. И вот тут схема отличается от привычного фишинга с паролями. У жертв вытягивают данные банковских карт и одноразовые коды из СМС, а все украденное уходит не на какой-нибудь мутный сервер, а прямо в Telegram, через официальное API. Самое неприятное, что многие такие письма реально пролетают мимо спам фильтров.

Технически это почти не про хакерство, а про грамотную упаковку. Письма прилетают с адреса admin@theyounginevitables[.]com. У домена не настроена жесткая DMARC политика, стоит p=NONE, и из-за этого атакующим проще мимикрировать под техподдержку WordPress и не получить автоматический бан на уровне почтовых проверок. В итоге сообщение выглядит прилично и не вызывает у почтовых систем мгновенного отторжения, особенно если человек привык, что продления и счета приходят именно по почте.

Дальше вас ведут на домен soyfix[.]com. Там развернут клон чекаута WordPress.com. Визуально все как надо: похожие шрифты, аккуратная верстка, фраза Secure order validation, правдоподобная сумма, примерно 13 долларов плюс налоги. Психологически это важный момент. Сумма небольшая, значит не страшно, а значит рука сама тянется оплатить быстрее, пока не отключили сайт.

Самая интересная деталь это то, как они выносят данные наружу. Вместо того чтобы поднимать абузоустойчивый хостинг, который рано или поздно вычислят и снесут, на странице работает скрипт send_payment.php, который отправляет введенные данные напрямую в Telegram бота через официальный API. Почему это хорошо для атакующего понятно. Трафик к api.telegram.org для большинства сетей выглядит как обычный легитимный трафик. Фаерволы редко считают его подозрительным. А заблокировать бота быстро и массово сложнее и медленнее, чем просто снести сайт на хостинге.

После ввода карты начинается самый циничный этап. Жертву перекидывают на фейковую страницу 3D Secure и разыгрывают маленький спектакль. Сначала 7 секунд якобы соединение с банком. Потом 4 секунды якобы обработка. Финал всегда один, ошибка. Это сделано специально, чтобы человек решил, что сам ошибся в цифре или код уже неактуален, и ввел следующий OTP. Пока вы пытаетесь победить эту ошибку, бот на стороне атакующего в реальном времени может пытаться списать деньги или привязать карту к кошельку, например Apple Pay или Google Pay. Вы вводите коды, думая что спасаете оплату, а на самом деле подкармливаете автомат.

Под ударом любой владелец WordPress сайта, чей email светится в WHOIS, на странице контактов или в публичных профилях. Особенно рискуют те, кто платит за домены и хостинг корпоративной картой на автомате и привык решать такие вещи одним кликом.

Техническая сложность: Низкая (используются готовые фишинговые киты). Эффективность: Высокая.

Использование Telegram для эксфильтрации данных делает атаку дешевой и масштабируемой. Хакеры снизили издержки до нуля: бесплатный бот, взломанный или копеечный домен, шаблонное письмо. Это массовый “чёс”, рассчитанный на панику. Не кормите ботов своими OTP.