Пятьсот первый способ относительно честного отъема вашего telegram-аккаунта
Собственно все банально, но многие повелись
для лл: ваш друг просит проголосовать за него, ссылка ведет на сайт, где требуется "авторизация через соцсети", где предлагается ввести логин-пароль от телеги
Как происходило:
Приходит сообщение "вас добавили в группу". Группу создал хороший знакомый, который:
у него есть своя музыкальная группа
он часто просит проголосовать в том или ином конкурсе
На данном этапе все ок, никаких подозрений. В чатике уже полно народу с сообщениями вида "проголосовал, желаю творческих успехов"
В закрепе группы ссылка на сайт с "голосовалкой". По нажатию на кнопку "проголосовать" просят "Авторизацию через соцсети". Вот тут и кроется, имхо, главный подвох. Сейчас очень много способов аутентификации OAuth 2.0. Это когда ты заходишь в один сайт, залогинившись в другом. И ключевой момент безопасности - убедиться, что ты вводишь свои креды действительно на том сайте, где у тебя учетка. Для этого тебя должно редиректнуть (или открыть в другом окне) на этот сайт.
В данном случае этого не произошло: все выглядело как традиционная аутентификация OAuth, но в том же окне браузера. Грамотного пользователя это должно было насторожить, но многие повелись.
Из забавного: предлагался альтернативный способ: через qr. Предлагалось отсканировать код и "подключить устройство". Имхо, вот тут уже эпик фейл и палевное палево. На этом моменте я закрыл для себя историю и пошел делать дела
Через некоторое время выяснилось, что аккаунт угнан, а через группу взломаны многие другие аккаунты. Абуза в поддержку не дала ровном счетом ничего: группа по-прежнему на месте, люди продолжают сообщать "проголосовал". Сколько из них ботов, а сколько доверчивых простофиль - неизвестно
Вместо морали: совершая любое действие, спрашивайте себя: "А не фигню ли я делаю?"