Phishing in Messengers: How to Recognize and Prevent AttacksФишинг в мессенджерах: как распознать и предотвратить атаку

Phishing has migrated from email inboxes to the platforms where teams and communities actually operate: Telegram, Discord, Slack, and WhatsApp. According to the Anti-Phishing Working Group, messenger-based phishing incidents grew 178% between 2023 and 2025, outpacing traditional email phishing growth by a factor of three. The shift is structural, not accidental. Messengers offer real-time delivery, implicit trust signals from group membership, and minimal built-in URL inspection. Defenders who still focus exclusively on email gateways are protecting the front door while the side entrance stands open.Фишинг мигрировал из электронной почты на платформы, где реально работают команды и сообщества: Telegram, Discord, Slack и WhatsApp. По данным Anti-Phishing Working Group, число фишинговых инцидентов в мессенджерах выросло на 178% с 2023 по 2025 год, опережая рост традиционного email-фишинга в три раза. Этот сдвиг структурный, а не случайный. Мессенджеры обеспечивают доставку в реальном времени, неявные сигналы доверия через членство в группах и минимальную встроенную проверку URL. Защитники, которые по-прежнему фокусируются исключительно на email-шлюзах, защищают парадную дверь, оставляя боковой вход открытым.

Evolution of phishing: from email to messengersЭволюция фишинга: от электронной почты к мессенджерам

Early phishing relied on mass email campaigns with generic lures. Spam filters, DMARC, and user awareness gradually reduced click-through rates. Attackers adapted by moving to channels where security tooling is thinner and social context is richer. A message from a known group member in a Telegram community carries inherently more trust than an email from an unknown sender. Discord server roles create authority hierarchies that attackers impersonate. Slack workspace membership implies organizational vetting that may never have occurred. WhatsApp phone-number identity creates false confidence in sender authenticity.Ранний фишинг опирался на массовые email-кампании с типовыми приманками. Спам-фильтры, DMARC и пользовательская осведомлённость постепенно снижали click-through rate. Атакующие адаптировались, перейдя на каналы с более слабым инструментарием безопасности и более богатым социальным контекстом. Сообщение от известного участника группы в Telegram-сообществе несёт значительно больше доверия, чем email от неизвестного отправителя. Роли в Discord-серверах создают иерархии авторитета, которые атакующие имитируют. Членство в Slack-workspace подразумевает организационную проверку, которая могла никогда не проводиться. Привязка к номеру телефона в WhatsApp создаёт ложную уверенность в подлинности отправителя.

The timeline is clear. Between 2020 and 2022, phishing kits with messenger distribution modules appeared on underground forums. By 2023, Telegram-native phishing-as-a-service operations offered turnkey campaigns with bot-based link generation, victim tracking dashboards, and automated credential harvesting. In 2024-2025, multi-messenger campaigns became standard, with a single operation rotating delivery across Telegram, Discord, and WhatsApp to evade platform-specific takedowns.Хронология очевидна. С 2020 по 2022 год на подпольных форумах появились фишинговые киты с модулями распространения через мессенджеры. К 2023 году Telegram-нативные phishing-as-a-service операции предлагали готовые кампании с bot-генерацией ссылок, дашбордами отслеживания жертв и автоматическим сбором учётных данных. В 2024-2025 годах мульти-мессенджерные кампании стали стандартом: одна операция ротирует доставку между Telegram, Discord и WhatsApp, чтобы обойти блокировки конкретных платформ.

Messenger-specific attack techniquesСпецифические техники атак в мессенджерах

Messenger phishing is not simply email phishing delivered through a different pipe. The attack surface and available techniques differ materially.Фишинг в мессенджерах — это не просто email-фишинг, доставленный через другой канал. Поверхность атаки и доступные техники существенно различаются.

• Homograph domain attacks. Internationalized domain names allow visually identical characters from different Unicode scripts. A Cyrillic "а" (U+0430) replaces Latin "a" in a domain like "paypa1.com" or "tеlеgram.org". Messenger clients rarely display Punycode, making visual detection nearly impossible on mobile devices.Атаки с гомографными доменами. Интернационализированные доменные имена позволяют использовать визуально идентичные символы из разных Unicode-скриптов. Кириллическая «а» (U+0430) заменяет латинскую «a» в доменах вроде «paypa1.com» или «tеlеgram.org». Мессенджер-клиенты редко отображают Punycode, делая визуальное обнаружение практически невозможным на мобильных устройствах.
• URL shortener chains. Attackers stack multiple shorteners (bit.ly to t.co to a custom redirector) to obscure the final destination. Each hop resets referrer headers and defeats single-layer URL scanning. The preview that messengers show reflects only the first hop.Цепочки URL-сокращателей. Атакующие выстраивают несколько сокращателей (bit.ly на t.co на кастомный редиректор), чтобы скрыть конечный адрес. Каждый переход сбрасывает referrer-заголовки и обходит одноуровневое сканирование URL. Превью, которое показывают мессенджеры, отражает только первый переход.
• QR code phishing (quishing). QR codes shared as images bypass text-based link analysis entirely. Attackers post QR codes in group chats claiming to link to airdrops, event registrations, or verification portals. The victim scans with their phone camera, bypassing any desktop security tooling.QR-код фишинг (quishing). QR-коды, отправленные как изображения, полностью обходят текстовый анализ ссылок. Атакующие публикуют QR-коды в групповых чатах, утверждая, что они ведут на airdrop, регистрацию на мероприятие или портал верификации. Жертва сканирует камерой телефона, обходя любые средства безопасности десктопа.
• Deepfake voice messages. AI-generated voice clones of community leaders or executives are sent as audio messages in Telegram and WhatsApp. The victim hears a trusted voice requesting urgent action. Voice biometric verification is not available in standard messenger clients, and most users lack awareness that voice cloning is accessible at low cost.Deepfake голосовые сообщения. AI-сгенерированные голосовые клоны лидеров сообществ или руководителей отправляются как аудиосообщения в Telegram и WhatsApp. Жертва слышит доверенный голос, запрашивающий срочное действие. Голосовая биометрическая верификация недоступна в стандартных мессенджер-клиентах, и большинство пользователей не осознают, что клонирование голоса доступно по низкой цене.
• Bot impersonation. In Telegram, attackers create bots with names and avatars mimicking legitimate service bots. Users interact assuming they communicate with an official tool, entering credentials or API keys directly into the chat interface.Имитация ботов. В Telegram атакующие создают ботов с именами и аватарами, имитирующими легитимные сервисные боты. Пользователи взаимодействуют, полагая, что общаются с официальным инструментом, и вводят учётные данные или API-ключи прямо в интерфейс чата.

Platform comparison: how phishing differs across messengersСравнение платформ: как фишинг различается в мессенджерах

Detection signals: technical analysis frameworkСигналы обнаружения: фреймворк технического анализа

Effective messenger phishing detection requires analyzing multiple signal layers simultaneously. No single indicator provides sufficient confidence; the power is in correlation.Эффективное обнаружение фишинга в мессенджерах требует одновременного анализа нескольких слоёв сигналов. Ни один индикатор не обеспечивает достаточной уверенности; сила — в корреляции.

• URL entropy analysis. Legitimate domains have low Shannon entropy in their character distribution. Phishing domains generated by DGA (domain generation algorithms) or random character substitution exhibit measurably higher entropy. A threshold of 3.5 bits per character flags 87% of algorithmically generated domains with a false positive rate under 2%.Анализ энтропии URL. Легитимные домены имеют низкую энтропию Шеннона в распределении символов. Фишинговые домены, сгенерированные DGA (алгоритмами генерации доменов) или случайной заменой символов, демонстрируют измеримо более высокую энтропию. Порог в 3,5 бита на символ выявляет 87% алгоритмически сгенерированных доменов с уровнем ложных срабатываний менее 2%.
• Domain age correlation. Domains registered within the last 30 days account for 73% of messenger phishing infrastructure. WHOIS age under 7 days combined with any other risk signal should trigger automatic escalation. Newly registered domains using privacy protection services warrant additional scrutiny.Корреляция возраста домена. Домены, зарегистрированные в течение последних 30 дней, составляют 73% инфраструктуры мессенджерного фишинга. Возраст WHOIS менее 7 дней в сочетании с любым другим сигналом риска должен вызывать автоматическую эскалацию. Недавно зарегистрированные домены с сервисами защиты приватности требуют дополнительной проверки.
• SSL certificate anomalies. Free automated certificates (Let's Encrypt) on newly registered domains with high entropy subdomains are a strong compound indicator. Certificate transparency logs reveal registration patterns: attackers often register multiple similar domains in a single session. Mismatched certificate common names versus the served domain indicate infrastructure reuse across campaigns.Аномалии SSL-сертификатов. Бесплатные автоматические сертификаты (Let's Encrypt) на недавно зарегистрированных доменах с высокоэнтропийными субдоменами — сильный составной индикатор. Логи Certificate Transparency выявляют паттерны регистрации: атакующие часто регистрируют несколько похожих доменов за одну сессию. Несоответствие Common Name сертификата и обслуживаемого домена указывает на повторное использование инфраструктуры между кампаниями.
• Redirect chain analysis. Following the full redirect chain from the shared URL to the final landing page reveals cloaking behavior. Geographic or user-agent based redirects that show different content to scanners versus victims indicate active evasion. More than two redirects with domain changes should be treated as suspicious by default.Анализ цепочек редиректов. Отслеживание полной цепочки редиректов от общей URL до конечной страницы выявляет cloaking-поведение. Географические или user-agent-зависимые редиректы, показывающие различный контент сканерам и жертвам, указывают на активное уклонение. Более двух редиректов со сменой домена должны рассматриваться как подозрительные по умолчанию.
• Behavioral context signals. Message timing patterns (burst posting), account age of the sender, deviation from the sender's normal communication patterns, and presence of urgency language all contribute to composite risk scoring.Контекстные поведенческие сигналы. Паттерны времени отправки (burst-постинг), возраст аккаунта отправителя, отклонение от типичных коммуникационных паттернов отправителя и наличие языка срочности — всё это вносит вклад в композитную оценку риска.

Prevention framework: defense in depthФреймворк предотвращения: эшелонированная защита

Prevention requires coordinated action across three domains: user education, automated scanning, and incident response. Each layer compensates for the gaps in the others.Предотвращение требует координированных действий в трёх областях: обучение пользователей, автоматизированное сканирование и реагирование на инциденты. Каждый слой компенсирует пробелы в остальных.

User educationОбучение пользователей

• Train users to verify links through independent channels before clicking. If a Telegram admin posts a link, verify through a second communication channel.Обучайте пользователей проверять ссылки через независимые каналы перед кликом. Если Telegram-админ публикует ссылку, верифицируйте через второй канал связи.
• Conduct monthly simulated phishing exercises specific to messenger platforms. Email-only phishing simulations leave messenger attack awareness untested.Проводите ежемесячные симуляции фишинговых атак, специфичные для мессенджер-платформ. Симуляции только по email оставляют непроверенной осведомлённость об атаках через мессенджеры.
• Establish clear escalation paths: every user should know exactly where to report a suspicious message within 15 seconds of encountering it.Установите чёткие пути эскалации: каждый пользователь должен знать, куда именно сообщить о подозрительном сообщении в течение 15 секунд после его обнаружения.
• Publish and maintain a pinned list of official domains and bot usernames for each community or organization.Публикуйте и поддерживайте закреплённый список официальных доменов и юзернеймов ботов для каждого сообщества или организации.

Automated scanningАвтоматизированное сканирование

• Deploy inline URL analysis that resolves full redirect chains before the message reaches the user or within milliseconds of delivery.Разверните inline-анализ URL, который разрешает полные цепочки редиректов до доставки сообщения пользователю или в течение миллисекунд после доставки.
• Implement QR code scanning for all image content shared in monitored channels. Extract embedded URLs and apply the same analysis pipeline as text links.Внедрите сканирование QR-кодов для всего графического контента в мониторируемых каналах. Извлекайте встроенные URL и применяйте тот же конвейер анализа, что и для текстовых ссылок.
• Cross-reference sender behavior against baseline profiles. First-time posters sharing links, or established accounts that suddenly change posting patterns, warrant elevated scrutiny.Сопоставляйте поведение отправителя с базовыми профилями. Впервые публикующие ссылки пользователи или устоявшиеся аккаунты с внезапным изменением паттернов публикации требуют повышенного контроля.
• Integrate threat intelligence feeds that track known phishing infrastructure, including domain registrations, IP reputation, and certificate issuance patterns.Интегрируйте фиды threat intelligence, отслеживающие известную фишинговую инфраструктуру, включая регистрации доменов, IP-репутацию и паттерны выдачи сертификатов.

Incident responseРеагирование на инциденты

• Define response SLAs: DANGER-classified messages should be removed within 30 seconds of detection. SUSPICIOUS messages should be flagged for human review within 2 minutes.Определите SLA реагирования: сообщения класса DANGER должны удаляться в течение 30 секунд после обнаружения. SUSPICIOUS-сообщения должны передаваться на ручную проверку в течение 2 минут.
• Maintain a post-incident playbook: affected users notified, compromised credentials rotated, campaign indicators shared with threat intelligence community.Поддерживайте плейбук пост-инцидентного реагирования: затронутые пользователи уведомлены, скомпрометированные учётные данные ротированы, индикаторы кампании переданы сообществу threat intelligence.
• Conduct retrospective analysis within 24 hours of every confirmed phishing incident. Identify detection gaps and update scanning rules accordingly.Проводите ретроспективный анализ в течение 24 часов после каждого подтверждённого фишингового инцидента. Выявляйте пробелы обнаружения и обновляйте правила сканирования.

SecuriLayer's approach: multi-layer verdict systemПодход SecuriLayer: мультислойная система вердиктов

SecuriLayer's detection architecture addresses messenger phishing through a structured verdict pipeline. Every message containing a URL, QR code, or suspicious semantic pattern passes through multiple analysis stages before a verdict is issued.Архитектура обнаружения SecuriLayer адресует фишинг в мессенджерах через структурированный конвейер вердиктов. Каждое сообщение, содержащее URL, QR-код или подозрительный семантический паттерн, проходит через несколько стадий анализа перед выдачей вердикта.

The Decision Contract audit trail records every verdict with its inputs, reason codes, and timestamp. When a human operator overrides an automated decision, the override reason is captured and feeds back into model calibration. This creates an accountable, auditable security process where no decision is opaque and every action can be traced to specific evidence.Аудиторский след Decision Contract фиксирует каждый вердикт с его входными данными, кодами причин и временной меткой. Когда оператор переопределяет автоматическое решение, причина переопределения фиксируется и возвращается в калибровку модели. Это создаёт подотчётный, проверяемый процесс безопасности, где ни одно решение не является непрозрачным и каждое действие можно проследить до конкретных доказательств.

Industry statistics: messenger phishing growthОтраслевая статистика: рост фишинга в мессенджерах

• Messenger-based phishing incidents increased 178% from 2023 to 2025 (APWG Phishing Activity Trends Report).Фишинговые инциденты через мессенджеры выросли на 178% с 2023 по 2025 год (APWG Phishing Activity Trends Report).
• 82% of successful messenger phishing attacks used at least one redirect chain with three or more hops (Cofense Intelligence, 2025).82% успешных фишинговых атак через мессенджеры использовали минимум одну цепочку редиректов с тремя и более переходами (Cofense Intelligence, 2025).
• Average time from phishing message delivery to first victim click in messenger: 97 seconds, compared to 21 minutes for email (Proofpoint State of the Phish, 2025).Среднее время от доставки фишингового сообщения до первого клика жертвы в мессенджере: 97 секунд, по сравнению с 21 минутой для email (Proofpoint State of the Phish, 2025).
• Telegram and Discord account for 61% of messenger phishing distribution, followed by WhatsApp (24%) and Slack (11%) (SlashNext State of Phishing, 2025).Telegram и Discord составляют 61% распространения фишинга через мессенджеры, за ними следуют WhatsApp (24%) и Slack (11%) (SlashNext State of Phishing, 2025).
• QR code phishing (quishing) in messenger channels grew 437% year-over-year in 2024, making it the fastest-growing phishing vector across all delivery mechanisms (Hoxhunt Phishing Trends Report).QR-код фишинг (quishing) в мессенджер-каналах вырос на 437% год к году в 2024, став самым быстрорастущим фишинговым вектором среди всех механизмов доставки (Hoxhunt Phishing Trends Report).
• Organizations using multi-layer messenger scanning reduced successful phishing compromise by 94% compared to those relying on platform-native protections alone (Gartner Market Guide for Email Security, 2025).Организации, использующие мультислойное сканирование мессенджеров, снизили успешные фишинговые компрометации на 94% по сравнению с теми, кто полагался только на нативные средства защиты платформ (Gartner Market Guide for Email Security, 2025).

Practical implementation checklistПрактический чеклист внедрения

• Audit all messenger platforms used by your organization or community. Map which ones have security tooling coverage and which are unmonitored.Проведите аудит всех мессенджер-платформ, используемых вашей организацией или сообществом. Определите, какие из них покрыты средствами безопасности, а какие не мониторятся.
• Deploy automated URL and QR code scanning on all monitored channels with sub-second analysis latency.Разверните автоматическое сканирование URL и QR-кодов на всех мониторируемых каналах с задержкой анализа менее секунды.
• Establish a baseline behavioral profile for all active senders. Alert on deviations that exceed two standard deviations from the sender's established pattern.Установите базовый поведенческий профиль для всех активных отправителей. Настройте алерты на отклонения, превышающие два стандартных отклонения от установленного паттерна отправителя.
• Run cross-platform phishing simulations quarterly. Measure time-to-report, click rate, and credential submission rate per platform.Проводите кросс-платформенные симуляции фишинга ежеквартально. Измеряйте время до репорта, click rate и процент предоставления учётных данных по каждой платформе.
• Review and update reason code mappings monthly. New attack techniques require new detection categories.Ежемесячно пересматривайте и обновляйте маппинг reason codes. Новые техники атак требуют новых категорий обнаружения.
• Maintain incident response runbooks specific to each messenger platform, accounting for platform-specific moderation APIs and response capabilities.Поддерживайте рабочие книги реагирования на инциденты, специфичные для каждой мессенджер-платформы, учитывая API модерации и возможности реагирования конкретных платформ.

Messenger phishing is not a future threat; it is the current operational reality. The 97-second average time-to-click in messengers leaves no room for manual-only detection. Organizations that deploy automated multi-layer analysis with auditable verdict trails convert a reactive security posture into a proactive one, reducing exposure from hours to seconds.Фишинг в мессенджерах — это не угроза будущего; это текущая операционная реальность. 97-секундное среднее время до клика в мессенджерах не оставляет места для исключительно ручного обнаружения. Организации, которые внедряют автоматизированный мультислойный анализ с проверяемыми вердиктами, трансформируют реактивную позицию безопасности в проактивную, сокращая экспозицию с часов до секунд.

Activate messenger phishing protectionАктивировать защиту мессенджеров от фишинга