Автоматизация фишинга через Telegram-ботов нового поколения (DeepPhish)

[Good Carder]

Генерация фишинговых страниц с помощью LLM, автоматическая рассылка через взломанные аккаунты Telegram, перехват сессий через подмену QR-кодов.​

От кардера — кардерам. Старый добрый фишинг через email с орфографическими ошибками и подозрительными ссылками умер. В 2027 году на сцену вышел DeepPhish — полностью автоматизированная фишинг-инфраструктура, построенная на Telegram. Почему Telegram? Потому что это самый удобный канал для кардера: миллиард пользователей, встроенные боты, полная автоматизация, шифрование (которое работает и на нас), относительная анонимность и, главное, гигантский охват аудитории. По данным Chainaanalysis и Aura за 2026 год, AI-технологии повысили доходность киберпреступников в 4,5 раза.

В этой статье я разберу DeepPhish — симбиоз AI-контента, Telegram-API и человеческой доверчивости. Вы узнаете, как работают готовые AI-фишинг-киты (BlackForce, GhostFrame, Darcula), как поднять собственного бота для массовой рассылки, как происходит автоматический сбор данных, обход 2FA через Evilginx3 и кража сессий Telegram. Также затронем новейшую схему — фейковые Telegram Mini Apps для кражи криптокошельков. И, конечно, не обойдём OPSEC: как Telegram борется со злоупотреблениями и как эту борьбу обходить.

Часть 1. Что такое DeepPhish и почему 2027 год переломный​

DeepPhish — это не конкретная программа, а класс угроз. Это полностью автоматизированный конвейер, включающий:

• AI-генерацию контента (LLM создают персонализированные письма и сообщения, неотличимые от настоящих, на любом языке);
• Telegram-ботов для распространения, приёма данных и координации;
• Reverse-proxy перехват сессий и 2FA-кодов.

Всё это продаётся как услуга («Phishing-as-a-Service», PhaaS) с ценами от 200 евро до 1000 долларов за комплект, способный поддержать миллионы атак.

Ключевое отличие 2027 года — массовая персонализация. Кардеры используют открытые данные (соцсети, LinkedIn) для генерации сообщений, обращающихся к жертве по имени, упоминающих её компанию и должность. AI убирает главный маркер фишинга — грамматические ошибки, а Telegram-боты служат идеальной платформой для сбора данных и коммуникации.

В этом же году исследования показали, что AI повышает эффективность мошенничества в 4,5 раза, и Telegram стал основной площадкой.

Часть 2. AI-генерация фишингового контента: LLM-движок​

Сердце DeepPhish — это LLM (Large Language Model). Оно создаёт сообщения, которые невозможно отличить от настоящих.

2.1. Открытые и криминальные LLM​

• Черный рынок криминальных LLM (FraudGPT, WormGPT, KawaiiGPT). Эти модели не имеют цензуры и способны генерировать вредоносный код, фишинговые страницы и убедительные письма. KawaiiGPT, обнаруженный в середине 2025 года и обновлённый до версии 2.5, стал популярным у новичков, полностью бесплатен и выпускает фишинговые страницы по запросу. Они обучались исключительно на вредоносных примерах, лишены этических ограничений и могут генерировать любой контент.
• «Джейлбрейкнутые» версии легальных LLM. Перепрошитые ChatGPT/Claude способны на то же самое, что и криминальные модели.

2.2. Как выглядит автоматизированная генерация (промпт)​

Системный промпт: «Ты — маркетолог, отправляющий персональные предложения от имени компании [Apple/Microsoft/Binance]. Твоя цель — убедить пользователя перейти по ссылке и авторизоваться. Используй официальный стиль, без сомнений и подозрительных фраз». Пользовательский промпт (подставляется через OSINT): «Имя: Иван Петров. Должность: инженер в TechCorp. Email: ivan@techcorp.ru. Компания: использует Apple Business Manager. Сгенерируй уведомление о якобы истёкшей подписке Apple ID с просьбой подтвердить данные за 24 часа». На выходе — готовое письмо, которое пройдёт спам-фильтры.

Так LLM «печатает» тысячи персонализированных сообщений за минуту, на любом языке.

Часть 3. Telegram-боты: от рассылки до сбора данных​

Telegram для фишера — это универсальный комбайн.

3.1. Бот как интерфейс управления​

Атакующий взаимодействует с фишинг-кампанией через специального бота:

1. Выбирает шаблон фишинговой страницы или загружает свой.
2. Бот генерирует ссылку и/или QR-код.
3. Рассылает целевым контактам (из загруженной базы номеров или имён).
4. Автоматически собирает введённые жертвами данные (логины, пароли, сессионные куки, файлы).

Такая инфраструктура называется «фишинг как услуга» (PhaaS) и активно продаётся на даркнете.

3.2. Программный инструментарий (Telethon / Pyrogram)​

Ботов создают на Python с помощью мощных фреймворков: Telethon или Pyrogram. Приведу примерный фрагмент кода (учебный), который иллюстрирует механику:

from pyrogram import Client, filters

app = Client("my_bot", api_id=12345, api_hash="...")

@app.on_message(filters.command("start") & filters.private)
async def start_command(client, message):
    await message.reply("Добро пожаловать! Ваша сессия: #" + str(message.chat.id))

@app.on_message(filters.text & filters.private)
async def catch_creds(client, message):
    if "@" in message.text:  # примитивный детектор email
        await message.reply("Данные получены ✅")
        with open("stolen_logs.txt", "a") as f:
            f.write(f"{message.chat.id}:{message.text}\n")

Бот может работать как от имени обычного пользователя (пользовательская сессия), так и от имени официального бота (bot token).

3.3. Массовая рассылка: спам-боты и сессионная ротация​

Для массовой рассылки используют пулы аккаунтов и готовые ботнеты (например, Telethon + Pyrogram). Конфигурация включает файл config.ini с массивом аккаунтов (api_id, api_hash, номер телефона). При отправке сообщения код перебирает аккаунты циклически, распределяя нагрузку. Это обходит базовые лимиты Telegram на частоту сообщений: один аккаунт — не более 20–30 сообщений в минуту.

Часть 4. Evilginx3 в связке с Telegram-ботом: перехват сессий и обход 2FA​

Фишинг пароля — прошлый век. Главная цель — украсть сессионную куку.

4.1. Как работает Evilginx3​

Evilginx3 — это reverse-proxy MITM-фреймворк. Вы создаёте поддельный домен (например, google.com-secure-login.ru), настраиваете Evilginx3 для проксирования трафика на реальный сайт (например, Gmail). Жертва не видит разницы, вводит логин, пароль и код 2FA.

Evilginx3 перехватывает не только пароль, но и сессионную cookie. Затем эту cookie можно импортировать в свой браузер — и вы вошли в аккаунт, 2FA пройдена. Подготовленный phishlet (конфиг для конкретного сайта) объясняет системе, какие параметры перехватывать.

4.2. Telegram-бот как фронтэнд кардера​

Атакующему не нужно самостоятельно вводить домены и управлять сервером — всем управляет Telegram-бот. Достаточно дать команду «запустить кампанию для Gmail», и бот развернёт поддомен, сгенерирует фишинг-ссылку, отправит жертвам, а после перехвата сессии пришлет уведомление в Telegram с готовой cookie.

4.3. Реальный кейс: UNC1069 и поддельные Zoom-конференции​

Группировка UNC1069 использовала для атак на криптовалютный сектор схему: взломанный Telegram-аккаунт, приглашение на Zoom-встречу, ссылка (ведущая на Evilginx3). Встреча якобы с генеральным директором или партнёром, AI-сгенерированное видео убеждало жертву войти в аккаунт криптобиржи для «проверки». Кардеры перехватывали сессию и выводили средства.

Часть 5. Новая угроза 2027: фейковые Telegram Mini Apps для кражи кошельков и QR-коды​

Новый вектор — фишинг через Telegram Mini Apps (TMA). В 2026 году обнаружена сеть FEMITBOT, использующая TMA для запуска поддельных криптобирж и приложений. В этих мини-приложениях жертву просят «подключить кошелёк», что на деле выкачивает все средства и заражает телефон трояном.

В кампании против Trust Wallet кардеры рассылали в Telegram QR-коды, ведущие на Netlify-страницы, подражающие интерфейсу USDT-переводов. Они использовали уязвимость ERC-20 approve() — жертва подписывала транзакцию на «проверку USDT», но на самом деле давала бесконечное разрешение на вывод средств на адрес кардеров.

Процесс атаки через QR-код:

1. Жертва сканирует QR-код.
2. Открывается фейковое приложение Trust Wallet, запрашивающее подтверждение.
3. Если жертва подписывает транзакцию, все средства на кошельке уходят на адрес атакующих.

Часть 6. Экосистема: продажа аккаунтов и перехват сессий​

Украденные Telegram-аккаунты — ценный товар. Взломав один аккаунт, кардер получает доступ к контактам, группам и создаёт эффект домино.

Главный вектор атак в 2026 году — кража файлов сессий (tdata). Копия папки tdata с компьютера жертвы позволяет зайти в её аккаунт Telegram без пароля и 2FA. Полученный доступ продаётся на теневых форумах. Заражение через стилер-логи (RedLine, Raccoon) позволяет собрать эти данные и перепродать. Массовое использование этих утечек привело к индустриализации кражи сессий.

Инструменты для автоматизации продаж и обхода 2FA также доступны в даркнете и Telegram.

Часть 7. Как Telegram борется с ботами (и как мы обходим)​

• API-лимиты. Бот не может отправлять сообщения чаще определённой частоты. Мы используем ротацию аккаунтов и распределяем нагрузку через Python-фреймворки.
• Автоматическая детекция ботов. Telegram анализирует поведение. Для маскировки добавляем случайные задержки, уникальные сообщения. Не используем один бот массово — ротируем аккаунты.
• Чёрные списки (бан). Аккаунт, на который жалуются, ограничивают или блокируют. Мы заводим сотни запасных аккаунтов, покупаем на смс-активаторах для массовой рассылки, жертвуем самыми агрессивными. Аккаунты-«расходники» живут от нескольких дней до недели.
• Капча при подозрительной активности. Некоторые боты требуют решения капчи при слишком частом использовании. Используем сервисы вроде 2captcha или CapSolver для автоматического решения капчи.

Часть 8. Инструментарий и инфраструктура DeepPhish в 2027 году​

Инструмент	Назначение	Источник
FraudGPT, WormGPT, KawaiiGPT	Генерация контента (письма, страницы)	2
Evilginx3 + phishlets	MITM, обход 2FA, кража сессий	4
Darcula PhaaS	Управление кампанией через Telegram-бота	2
Pyrogram / Telethon	Python-фреймворки для автоматизации	3
QR-код «дрейнеры» (Trust Wallet)	Кража токенов через approve()	5
FEMITBOT сеть	Telegram Mini Apps для крипто-мошенничества	5

Часть 9. OPSEC и финальный чек-лист для кардера​

1. AI-генерация. Используй FraudGPT/WormGPT или джейлбрейкнутый ChatGPT для создания персонализированных писем. Тщательно настраивай промпты.
2. Инфраструктура. Подними Evilginx3 на VPS за крипту, настрой phishlets для целевых сервисов. Используй временные домены.
3. Telegram-бот. Разработай бота для сбора данных. Бот должен принимать cookie и пароли и сохранять их в зашифрованном виде.
4. Массовая рассылка. Используй пул аккаунтов Telegram через Telethon/Pyrogram. Ротируй аккаунты, соблюдай паузы.
5. QR-код-фишинг для крипты. Для кражи USDT настрой страницу-дрейнер и распространяй QR-код через каналы.
6. Анализ и логирование. Всё, что собрано, храни в зашифрованной БД.
7. Маскировка. Используй резидентные прокси, меняй User-Agent. Не запускай ботов с одного IP.
8. Защита ботов от банов. Добавляй случайные задержки, не дублируй шаблоны. Ротируй номера и сессии. Используй официальную документацию Telegram для легитимных действий, чтобы не привлекать внимание.

Резюме​

DeepPhish — эволюция фишинга. AI убивает последнее преимущество защиты — человеческую способность распознавать обман. Telegram-боты делают атаки дешёвыми и масштабируемыми. Evilginx3 и QR-код-дрейнеры превращают 2FA и биометрию в формальность. А лёгкий доступ к украденным сессиям финализирует кражу. В 2027 году фишинг — это уже не «сырые» письма, а индустрия с полной автоматизацией. И Telegram стал её главной ареной.

Быстрая памятка на одну строку:
«Telegram-бот генерирует страницу через Evilginx3. Жертва вводит пароль и 2FA. Ты получаешь сессию. Баланс криптокошелька уходит в approve(). Добро пожаловать в 2027-й»