flaber1998
21.03.2025, 19:22
Доброго времени суток!
Ситуация следующая: Была переписка в tg desktop под windows с мошенником, мошенник прислал ссылку на, якобы, «билеты в театр», муляж кассира.ру. Ссылка была открыта в браузере google chrome, никаких действий на сайте не производилось, т.к. было понятно, что сайт поддельный. И он благополучно был закрыт. Далее, мошенник кинул меня в ЧС, а спустя пару минут вылетели сессии с телефона (iPhone 15 pro на iOS 18.3.2) и компьютера (tg desktop), срочно был выполнен мною успешный вход с телефона и поменян облачный пароль.
Это всё происходило при работающем касперском. Ноль реакции, хотя при переходе по сайтам, иногда ранее останавливал загрузку .js скрипта. Последующее сканирование несколькими антивирусами, включая использования live cd не показало никаких угроз.
Вопрос: как это технически возможно? браузер получил доступ к файлам ОС и подменил файлы телеграм?Ведь никакие коды авторизации не вводились. В авторизированных устройствах телеграма не было посторонних устройств. Как-будто был перехвачен токен текущей сессии на ПК.
У друга ситуация 1 в 1 с той же ссылкой, только «увод» активных сессий произошёл после перехода по ссылке и ПОСЛЕ совершенных манипуляций: самостоятельного выхода из tg desktop (завершение сессии), очистка куков и кэша браузера, с которого была открыта ссылка (тоже google chrome), и полной проверки на вирусы. Kaspersky Premium с включенным расширением не отреагировал на переход на сайт.
P.S.: жаль, Autologger выполнил уже после удаления tg desktop и хрома
Тех. Информация:
Версия telegram desktop: v 5.12.3
Версия ОС: windows 11 корпоративная 24H2, сборка: 26100.3476
Пакет интерфейса компонентов Windows 1000.26100.54.0
Версия google chrome x64: 134.0.6998.118
Kaspersky free с последними обновлениями баз
Ситуация следующая: Была переписка в tg desktop под windows с мошенником, мошенник прислал ссылку на, якобы, «билеты в театр», муляж кассира.ру. Ссылка была открыта в браузере google chrome, никаких действий на сайте не производилось, т.к. было понятно, что сайт поддельный. И он благополучно был закрыт. Далее, мошенник кинул меня в ЧС, а спустя пару минут вылетели сессии с телефона (iPhone 15 pro на iOS 18.3.2) и компьютера (tg desktop), срочно был выполнен мною успешный вход с телефона и поменян облачный пароль.
Это всё происходило при работающем касперском. Ноль реакции, хотя при переходе по сайтам, иногда ранее останавливал загрузку .js скрипта. Последующее сканирование несколькими антивирусами, включая использования live cd не показало никаких угроз.
Вопрос: как это технически возможно? браузер получил доступ к файлам ОС и подменил файлы телеграм?Ведь никакие коды авторизации не вводились. В авторизированных устройствах телеграма не было посторонних устройств. Как-будто был перехвачен токен текущей сессии на ПК.
У друга ситуация 1 в 1 с той же ссылкой, только «увод» активных сессий произошёл после перехода по ссылке и ПОСЛЕ совершенных манипуляций: самостоятельного выхода из tg desktop (завершение сессии), очистка куков и кэша браузера, с которого была открыта ссылка (тоже google chrome), и полной проверки на вирусы. Kaspersky Premium с включенным расширением не отреагировал на переход на сайт.
P.S.: жаль, Autologger выполнил уже после удаления tg desktop и хрома
Тех. Информация:
Версия telegram desktop: v 5.12.3
Версия ОС: windows 11 корпоративная 24H2, сборка: 26100.3476
Пакет интерфейса компонентов Windows 1000.26100.54.0
Версия google chrome x64: 134.0.6998.118
Kaspersky free с последними обновлениями баз