Меня странно взломали в мессенджерах. Как защититься и успокоиться?
Ночью меня взломали в «Телеграме». С вечера еще все было нормально, а утром обнаружил, что меня выкинуло из аккаунта на всех устройствах. Я ввел свой номер телефона и увидел, что код для входа отправляется на незнакомую почту, которую установил злоумышленник.
Смс получить не мог из-за «дорогих смс в вашем регионе». Под полем для ввода кода — счетчик, который сообщает, что почта будет сброшена через семь дней. Скажу сразу: перед взломом я не нажимал на подозрительные ссылки, не скачивал подозрительные файлы и никому не передавал свои данные. На аккаунте был сложный облачный пароль.
Странности начались с того, что я нашел на электронной почте два непрочитанных письма: с кодом входа и кодом для сброса облачного пароля. Мой аккаунт электронной почты — с двухфакторной аутентификацией и кучей уведомлений на разные устройства и адреса электронной почты о том, что выполнен вход или что-то изменено.
Все мои контакты в ту ночь получили уведомление, что я снова в «Телеграме». И получили они его минут через десять после поступления писем на мою электронную почту.
Злоумышленник не стал вымогать деньги у моих близких и друзей, представляясь мной, ничего не сделал с моим небольшим телеграм-каналом на несколько десятков подписчиков. Он просто-напросто удалил мой аккаунт и каким-то образом, не оставляя видимых следов, смог зарегистрировать мой телефонный номер заново и привязать свою почту.
Несколько дней я пытаюсь добиться ответа от поддержки «Телеграма»: направил, наверное, сотню запросов меньше чем за неделю всеми доступными способами. Конечно же, никакого ответа.
Все это время я стараюсь сам разобраться, где уязвимость в моей сетевой броне. Узнал, что сессию в «Телеграме» можно украсть с десктопной версии на ПК и получить доступ без всяких кодов, — начал подозревать ПК. Потом в список подозреваемых попал смартфон: вдруг на нем вирус, который считывает данные с моего экрана? Но сразу возникает вопрос: если злоумышленники имеют доступ к ПК и смартфону, почему в качестве цели выбраны только мессенджеры?
Естественно, подумал и на сим-свопинг. Даже дозвонился до целого живого оператора «МегаФона»! Меня убеждали, что дубликация сим-карты технически невозможна: я бы получил сигнал о перевыпуске сим-карты либо полностью лишился связи.
Против сим-свопинга говорит еще и то, что мой номер регулярно спамят кодами для входа в разные сервисы: букмекерские конторы, иностранные банки, авиакомпании и мессенджеры.
Сегодня я ради проверки установил «Вотсап»*, которым вообще не пользуюсь и, вероятно, последний раз удалил аккаунт целиком, но не уверен в этом. Когда я ввел свой номер, увидел, что код для входа отправили на знакомый фрагмент электронной почты — номер телефона угнал тот же злоумышленник!
В моем телефоне сохранилось последнее сообщение от «Вотсапа»* — оно приходило в августе 2024 года. В отличие от «Телеграма» в зеленом мессенджере код можно получить и через телефонный звонок — я хотя бы здесь вернул свой номер.
Если честно, чем больше пытаюсь разобраться в ситуации и найти уязвимость, тем хуже, тревожнее и страшнее мне становится: я будто медленно схожу с ума, чувство защищенности тает на глазах, я боюсь, что мне ничего не принадлежит. И просто не знаю, что делать. Как защитить себя и успокоиться?
Ситуация неприятная, но логика в действиях злоумышленников прослеживается четко. По вашей сетевой броне ударили не в лоб, пытаясь подобрать пароль, а в обход — через кражу личности в цифровом пространстве.
Разберемся, как это работает и почему ваши защитные меры — пароли и двухфакторная аутентификация, 2FA — не помогли.
Подкаст, в котором разоблачитель мошенников изучает, как меняются схемы обмана и общество вместе с ними
Как хакеры получили доступ к устройству
Вы пишете, что не скачивали файлы и не переходили по подозрительным ссылкам. Но современные стилеры научились проникать на устройства гораздо изящнее. Вариантов масса — от уязвимости в старом расширении браузера до взломанного обновления какой-нибудь безобидной утилиты.
Один из самых ярких примеров последнего времени — схема ClickFix. Представьте: вы заходите на сайт и вместо контента видите окно проверки «Я не робот». Оно выглядит как настоящая капча от Google или Cloudflare. Но вместо предложения отметить светофоры выдает инструкцию, как доказать свою человечность:
- Нажмите комбинацию клавиш Win + R.
- Нажмите Ctrl + V.
- Нажмите Enter.
В этот момент в буфер обмена вашего компьютера уже незаметно подгружена вредоносная команда PowerShell. Нажимая комбинации, вы ее запускаете, и она скачивает стилер. По факту вы не нажимали на подозрительную ссылку — просто прошли капчу по инструкции.
Почему не помогла двухфакторная аутентификация
Ваши главные улики — письма в почте, которые вы не запрашивали, и отсутствие уведомлений о входе. Это классический признак кражи cookie-файлов и сессионных токенов — уникальных идентификаторов, которые веб-приложения выдают пользователю при входе, чтобы распознать его без повторной авторизации при новом запросе.
Файлы cookies — это небольшие текстовые файлы, которые сохраняются на вашем устройстве при посещении веб-сайта. Они помогают сайту запоминать вашу активность и предпочтения, например язык, логин, настройки или товары, которые вы просматривали. Стилер, попав на компьютер, не только ворует пароли, но и выгребает cookies из браузеров.
Далее злоумышленник импортирует украденные cookies из почтового сервиса в свой браузер. Для почтового сервиса это выглядит так, будто вы просто открыли вкладку. Пароль не нужен, 2FA не срабатывает — сессия уже считается доверенной. Именно так они читали ваши письма и сбрасывали пароли, оставаясь незамеченными для систем уведомлений.
Подобная уязвимость есть и у «Телеграма»: из десктопной версии мессенджера хакеры могли украсть папку tdata, в которой хранятся файлы пользовательской авторизации и локальной истории переписки. Это позволило им зайти в ваш аккаунт на своем ПК без кодов.
Зачем хакерам ваш аккаунт
Это может показаться странным: зачем злоумышленнику удалять ваши переписки и каналы, если можно было просто ими пользоваться? Но с точки зрения киберпреступного бизнеса чистый аккаунт на живом, прогретом номере — куда более ценный актив, чем доступ к вашим личным чатам.
Вот зачем это нужно злоумышленникам и что происходит с аккаунтом дальше.
Продать на черном рынке. Аккаунты в «Телеграме» — это товар. Самые дешевые — автореги, созданные ботами на виртуальные номера. Они живут недолго и быстро улетают в бан.
Самые дорогие — аккаунты на реальных физических сим-картах, которые уже засветились в сети как принадлежащие человеку. Ваш номер для алгоритмов «Телеграма» — это что-то, чему можно доверять. После перерегистрации хакер получает свежий профиль с кристально чистой историей, но на проверенном номере. Такой аккаунт на теневых форумах может стоить в десятки раз больше обычного.
Устроить массовый спам. Если спамить с нового аккаунта, его забанят через 5—10 сообщений. Но у аккаунтов на реальных номерах лимиты гораздо выше.
Хакеры используют такие отмытые профили для фишинга — тех самых ссылок на «голосования» или «подарки премиума».
Создать цифровой призрак. Вы писали про смс от букмекеров и иностранных банков. Это вторая часть схемы. Хакер использует ваш номер как прокладку для регистрации в других сервисах.
В основном это нужно:
- для арбитража трафика — процесса, при котором пользователей перенаправляют с одного сайта на другой для получения прибыли;
- бонусхантинга — в букмекерских конторах и казино дают бонусы новым игрокам. На ваш номер регистрируют аккаунт, забирают бонус, тратят его и забывают.
Подготовиться к целевой атаке. Вы упомянули, что злоумышленники не стали писать близким. Но иногда аккаунт маринуют. Злоумышленник устанавливает нейтральное фото и имя, подписывается на несколько каналов и дает профилю отлежаться пару недель.
Затем этот аккаунт используют для внедрения в закрытые чаты или для того, чтобы втереться в доверие к кому-то из ваших бывших контактов под видом нового знакомого. Люди видят, что контакт в записной книжке обновлен, например «Максим теперь в „Телеграме“», и уровень доверия к такому аккаунту выше, чем к абсолютно незнакомому номеру.
Можно ли клонировать сим-карту в 2026 году
Крайне маловероятно: такие схемы перестали быть актуальными еще в нулевые.
Внутри каждой сим-карты спрятан уникальный ключ шифрования. В 1998 году хакеры действительно взломали старый алгоритм защиты и научились извлекать эти ключи даже без физического доступа к карте. В те времена сделать клон симки было делом техники: злоумышленники могли свободно принимать ваши звонки и перехватывать смс с кодами подтверждения.
Примерно через пять лет после того взлома операторы начали переходить на современные алгоритмы защиты. Инструментов для извлечения ключей из памяти современных карт не существует, а на их подбор методом перебора даже у суперкомпьютера уйдут миллионы лет. Без этого ключа создать копию карты невозможно: как только вы попытаетесь выйти в сеть, оператор распознает подделку, потому что проверочные данные не сойдутся.
Где остается уязвимость. Ключ шифрования хранится не только в чипе вашей симки, но и на серверах самого оператора, иначе сеть не смогла бы узнать абонента. Это создает два сценария по обходу защиты.
Теоретически коррумпированный сотрудник с доступом к базе данных может выгрузить ключ и создать дубликат. Но в крупных сетях такая карта проживет недолго: системы безопасности быстро вычислят два одинаковых идентификатора в сети, заблокируют обе симки, а сотрудника вычислят по логам. В мелких региональных сетях, где контроль слабее, клон может работать дольше.
Еще в ходе расследований правоохранительные органы могут получить законный доступ к серверам с ключами. Но это не похоже на ваш случай.
Как защититься от подобных атак
Браузер — главная цель любого стилера. Если вирус попадает на ПК, он первым делом выкачивает файл, где лежат все ваши сохраненные пароли. Вот как можно обезопасить данные.
Используйте менеджеры паролей. Bitwarden, KeePassXC или 1Password хранят базу в зашифрованном виде, и вытащить оттуда данные значительно сложнее, чем из «Хрома» или «Яндекс Браузера».
Разделяйте цифровую жизнь. Использовать один и тот же браузер для просмотра мемов, работы и входа в онлайн-банк — плохая идея. Используйте отдельный браузер, например Brave или Firefox, исключительно для критически важных сервисов: почты, госуслуг и банков.
Для всего остального — обычный браузер. Если в нем «отравят» сессию, ваши основные аккаунты останутся в безопасности в другом приложении.
Перейдите на аппаратные ключи. Самая эффективная защита от кражи сессий — это физический фактор. Когда 2FA привязана к смс или пушу, хакер может перехватить их через вирус. Когда она привязана к железке — нет.
Купите, например, Yubikey или «КриптоПро». Это флешка, которую нужно физически вставить в порт, нажать на ней кнопку или ввести пин-код, чтобы подтвердить вход. Даже если хакер украдет ваш логин, пароль и все cookies, он не сможет зайти в ваш аккаунт, потому что у него нет этой железки. Привяжите такой ключ к основной почте и соцсетям.
Подробнее про эти и другие способы защитить себя я рассказал в бесплатном курсе Учебника Т—Ж «Безопасность в интернете».
Как успокоиться после взлома
То, что вы описываете, — это не сумасшествие. Обманутые люди часто испытывают острый стресс, стыд, вину, злость, отчаяние, рискуют впасть в депрессию и потерять уверенность в себе. В таком состоянии можно навредить себе еще сильнее. Скажем, поверить обещаниям мошенников вернуть аккаунт в обмен на деньги или противозаконное действие. Поэтому в первую очередь постарайтесь выйти из острого состояния и только потом предпринимайте какие-либо действия.
Например, попробуйте интенсивно подвигаться — даже прогулка быстрым шагом снизит уровень гормонов стресса. Подробнее о том, как пережить обман и потерю, эксперты Т—Ж вместе с профессиональными психологами рассказали в отдельном уроке бесплатного курса «Как защититься от мошенников».
Если вы страдаете от сильной тревожности, находитесь в подавленном состоянии или тяжело переживаете потерю данных, стоит обратиться за психологической помощью. Это можно сделать анонимно и бесплатно.
