8 июля 2026 года Ксения Собчак сообщила, что злоумышленники сначала получили доступ к её электронной почте, а затем перехватили управление двумя Telegram-каналами. Доступ впоследствии восстановили. В СМИ утверждалось, что использовался фишинг, однако технического отчёта, логов авторизации или образца фишинговой страницы пока не опубликовано. Поэтому конкретный способ — украденный пароль, перехваченный сеанс, вредоносная программа или взлом сотрудника — достоверно не установлен.
Как атака могла выглядеть технически
Скорее всего, «почтовый сервер» никто не ломал. Похитили возможность входить от имени владельца.
1. Собчак или сотруднику прислали убедительную ссылку
Это могло выглядеть как:
- уведомление о входе в почту;
- документ от коллеги;
- предупреждение о блокировке;
- приглашение на интервью;
- сообщение от службы безопасности;
- ссылка от ранее взломанного знакомого.
Поддельная страница могла почти полностью повторять форму входа Google, «Яндекса», Mail.ru или другого почтового сервиса.
2. Похитили пароль и средство подтверждения
Простейший фишинг собирает логин и пароль. Более современная схема работает как прокси между человеком и настоящим почтовым сервисом:
- пользователь вводит пароль на поддельной странице;
- страница передаёт пароль настоящему сервису;
- пользователь вводит одноразовый код;
- злоумышленник получает не только пароль и код, но и готовый файл сеанса — cookie;
- cookie переносится в браузер злоумышленника, после чего сервис считает его уже авторизованным пользователем.
Такая атака называется AiTM — «злоумышленник посередине». Она способна обходить обычную двухфакторную защиту по SMS, push-уведомлениям и кодам из приложения, поскольку похищается уже подтверждённый сеанс.
Альтернативный вариант — стилер или вредоносное расширение браузера, которое забрало сохранённые пароли и cookies непосредственно с компьютера. Публичных доказательств применения такого ПО в случае Собчак нет.
3. Почту использовали как ключ от Telegram
Контроль над почтой сам по себе не всегда автоматически открывает Telegram, но при определённых настройках он резко упрощает захват:
- через почту можно восстанавливать дополнительный пароль Telegram;
- некоторые пользователи могут получать коды входа Telegram по электронной почте;
- в ящике могут находиться письма о настройках Telegram, резервные данные и уведомления;
- через почту восстанавливаются другие аккаунты сотрудников, имеющих административный доступ к каналам.
Telegram прямо предупреждает, что адрес восстановления необходимо защищать сильным паролем и двухфакторной аутентификацией. Для части пользователей сервис также предусматривает получение кодов входа через email.
Получив Telegram-аккаунт владельца или администратора, злоумышленник смог публиковать сообщения в каналах. Для этого не требуется «взламывать Telegram» или его серверы.
Как защититься от подобной атаки
1. Защитить почту ключом или passkey
Лучшая мера — аппаратный ключ FIDO2/WebAuthn либо passkey. При входе ключ проверяет настоящий домен сайта: поддельная страница не сможет получить корректное подтверждение.
CISA называет FIDO/WebAuthn широко доступным фишинг-устойчивым способом аутентификации. Google также указывает, что passkey нельзя случайно передать мошеннику так же, как пароль или код.
Оптимальная конфигурация:
- основной аппаратный ключ;
- второй резервный ключ в безопасном месте;
- уникальный пароль из менеджера паролей;
- SMS не используется как единственная защита;
- резервная почта защищена не слабее основной.
Для Google-аккаунта журналисту или владельцу публичного ресурса подходит программа «Расширенная защита»: она требует passkey или аппаратный ключ и ограничивает доступ сомнительных приложений к почте и Google Drive.
2. Укрепить Telegram
В разделе «Настройки → Конфиденциальность и безопасность»:
- включить «Двухэтапную аутентификацию»;
- задать отдельный пароль, который нигде больше не используется;
- привязать специально защищённую резервную почту;
- создать passkey;
- открыть «Устройства» и завершить все неизвестные сеансы;
- установить локальный код на приложение Telegram.
Telegram рекомендует одновременно использовать дополнительный пароль, защищённую восстановительную почту и контроль активных сеансов.
3. Разделить личные и административные аккаунты
Для крупного сайта или Telegram-канала безопаснее следующая архитектура:
- владелец канала не используется для повседневной переписки;
- у редакторов только необходимые права;
- публичный адрес для писем не является адресом восстановления;
- есть два доверенных аварийных администратора;
- права бывших сотрудников немедленно отзываются;
- важные изменения подтверждаются вторым человеком.
Один взломанный редактор тогда не должен давать возможность удалить других администраторов, передать канал или изменить критические настройки.
4. Проверить скрытые способы сохранения доступа
После захвата почты злоумышленник нередко создаёт «запасной вход». Недостаточно просто поменять пароль. Необходимо проверить:
- все активные устройства и сеансы;
- резервные телефоны и адреса;
- passkey и аппаратные ключи;
- пароли приложений;
- доступ сторонних приложений по OAuth;
- автоматическую переадресацию;
- почтовые фильтры и правила;
- делегированный доступ к ящику;
- неизвестные расширения браузера.
Google отдельно рекомендует проверять переадресацию, фильтры, IMAP/POP, делегирование и приложения, имеющие доступ к аккаунту.
5. Защитить рабочий компьютер
- удалить ненужные расширения браузера;
- обновлять ОС, браузер и Telegram;
- не устанавливать файлы из писем и Telegram без проверки;
- использовать отдельный профиль браузера для административных аккаунтов;
- не хранить пароль от почты в браузере общего компьютера;
- включить шифрование диска и автоматическую блокировку;
- не входить в административные аккаунты на чужих устройствах.
Подписывайтесь на телеграм-канал Финсайд и потом не говорите, что вас не предупреждали: https://t.me/finside.
Читайте нашу книгу про обман в крипте:
Сообщить о мошенниках или задать вопрос Памятка о возврате от мошенников Телеграм-канал и чат Вкладер Белый список инвестиций