Киберпреступники начали использовать поддельные сервисы, замаскированные под Telegram, для взлома аккаунтов и установки вредоносного ПО. Для многих схема через Телеграм уже не новость, так как они создавали фейковые рабочие группы, действовали от лица руководителей, а также запускали новость по распродаже билетов на концерты или совместные путешествия. Но на рубеже 2025-2026 гг была зафиксирована волна целенаправленных атак на персонал предприятий оборонного сектора и представителей госструктур.

Атаки осуществлялись через рассылку ссылок, замаскированных под документы с рабочей информацией. Внешне такие адреса напоминали интерфейс облачного сервиса Telegram и не вызывали настороженности. При этом открытие ссылки приводило к незаметной загрузке вредоносного программного кода на устройства под управлением Windows.

После перехода пользователю демонстрировали страницу, копирующую процедуру восстановления доступа к учетной записи Telegram. Для продолжения требовалось указать проверочный код с другого устройства, а при активированной дополнительной защите (2FA) — ввести пароль от облачного хранилища. Это объяснялось необходимостью полного отображения вложенного файла.

Фактически никакого документа не существовало. После ввода данных мошенники получали доступ к активной сессии Telegram, перепискам и контактам пользователя. Это позволяло им не только читать сообщения, но и использовать взломанный аккаунт для дальнейших атак и рассылок.

Эксперты отмечают, что подобные схемы всё чаще маскируются под привычные сервисы и используют доверие пользователей к известным платформам. В таких условиях особое значение приобретает внимательная проверка ссылок и отказ от ввода кодов и паролей на сторонних ресурсах.