纸飞机:【安全圈】黑客利用 Telegram 进行数据窃取

　　网络安全研究人员近期发现，攻击者正越来越多地将 Telegram 的 Bot API 基础设施作为隐蔽的数据外传通道。这一手法将传统钓鱼技术与合法通讯服务结合，绕过常规安全控制，并建立持久的远程控制能力。

　　攻击行动通常通过伪造的登录页面窃取用户凭证，再将数据直接传送至攻击者控制的 Telegram 机器人。近期调查显示，这类攻击主要针对高价值组织和政府机构，攻击者在伪造的 HTML 页面中嵌入 JavaScript 脚本，以提升窃取效率。页面界面高度仿真，甚至包含预填邮箱地址，增强可信度，显示攻击者在行动前已进行过针对性侦察。

　　研究发现，相关恶意代码会截取用户输入的账号密码，并通过 Telegram API 将数据上传至指定的攻击通道。攻击者普遍使用相似的接口集成方式，表明已出现标准化工具包。由于通信过程依赖加密的合法服务，这为传统检测机制带来较大挑战。

　　分析指出，这类攻击的危害已超越单纯的凭证窃取，一旦成功，攻击者可借助合法身份深入网络，开展横向移动，长期维持访问并持续收集敏感数据。专家提醒，组织应强化对网页脚本行为与网络流量的检测，及时识别利用合法平台进行的隐蔽外传活动。