Как уязвимость с API-ключом позволила выявить мошенников

Здравствуйте, читатели Хабра! Дмитрий Бабчук, руководитель направления информационной безопасности и ИТ-инфраструктуры маркетплейса Flowwow, делится уникальным опытом. Сегодня речь пойдёт о любопытном инциденте на стыке технологий, психологии и детективной работы. Я и мой коллега смогли проникнуть во внутренние чаты мошенников, и вот что из этого вышло. **Как удалось попасть в чаты мошенников** За последний год злоумышленники стали активно использовать бренд Flowwow в своих целях, что вызвало у нас раздражение. В процессе проверки подозрительных ссылок, мы обнаружили ошибку, допущенную мошенниками, и решили ею воспользоваться. Мошенники часто совершают ошибки из-за стремления быстро создать сайт без внимания к качеству. В этот раз они оставили API-ключ доступа к своему Telegram-каналу в открытом виде. Этот ключ позволял не только отправлять сообщения с данными жертв, но и добавлять новых администраторов или участников в чат. Мы использовали эту уязвимость, применили токен, вписали свои ники и принудительно авторизовались в их закрытом Telegram-канале. Второй раз я попал в подобные чаты уже без использования технических лазеек — через обычный поиск. Существуют инструменты, которые позволяют искать тематические группы. Также ссылки на такие чаты часто появляются в других вредоносных каналах, где сидят злоумышленники. **Зачем это было нужно?** Цель была простой — узнать врага в лицо: кто они, какие схемы используют. **Кто скрывается за аватарками чата** Когда думаешь о составах таких чатов, кажется, что там сидят изощрённые манипуляторы. Однако в реальности всё куда проще и страшнее. Помимо взрослых, мы увидели много школьников. У них в чатах есть своё разделение труда: кто-то занимается только микрозаймами, кто-то нацелен на обычные переводы с карт, а есть отдельная группа, которая работает «по линии ФСБ». Они запугивают людей уголовными делами и «спасают их деньги».