في نهاية عام 2019، اتصل العديد من رواد الأعمال الروس بقسم التحقيق في الجرائم الإلكترونية في Group-IB الذين واجهوا مشكلة الوصول غير المصرح به من قبل أشخاص مجهولين إلى مراسلاتهم في برنامج Telegram messenger. وقعت هذه الحوادث على أجهزة iOS وAndroid، بغض النظر عن شركة الاتصالات الفيدرالية التي كانت الضحية عميلاً لها.
بدأ الهجوم بتلقي المستخدم رسالة في برنامج تيليجرام ماسنجر من قناة خدمة تيليجرام (هذه هي القناة الرسمية للرسول مع علامة التحقق الزرقاء) مع رمز تأكيد لم يطلبه المستخدم. بعد ذلك، تم إرسال رسالة نصية قصيرة تحتوي على رمز التفعيل إلى الهاتف الذكي للضحية - وعلى الفور تقريبًا تم تلقي إشعار في قناة خدمة Telegram يفيد بتسجيل الدخول إلى الحساب من جهاز جديد.
في جميع الحالات التي تكون Group-IB على علم بها، قام المهاجمون بتسجيل الدخول إلى حساب شخص آخر عبر الإنترنت عبر الهاتف المحمول (ربما باستخدام بطاقات SIM يمكن التخلص منها)، وكان عنوان IP الخاص بالمهاجمين في معظم الحالات في سامارا.
الوصول عند الطلب
وأظهرت دراسة أجراها مختبر التحاليل الجنائية الحاسوبية Group-IB، حيث تم نقل الأجهزة الإلكترونية للضحايا، أن الأجهزة لم تكن مصابة ببرامج تجسس أو حصان طروادة المصرفي، ولم يتم اختراق الحسابات، ولم يتم استبدال بطاقة SIM. وفي جميع الحالات، تمكن المهاجمون من الوصول إلى برنامج المراسلة الخاص بالضحية باستخدام رموز الرسائل القصيرة التي تم تلقيها عند تسجيل الدخول إلى الحساب من جهاز جديد.
هذا الإجراء هو كما يلي: عند تفعيل برنامج المراسلة على جهاز جديد، يرسل Telegram رمزًا عبر قناة الخدمة إلى جميع أجهزة المستخدم، ثم (عند الطلب) يتم إرسال رسالة SMS إلى الهاتف. مع العلم بذلك، يقوم المهاجمون أنفسهم بتقديم طلب إلى الرسول لإرسال رسالة نصية قصيرة تحتوي على رمز التنشيط، واعتراض هذه الرسالة القصيرة واستخدام الرمز المستلم لتسجيل الدخول بنجاح إلى الرسول.
وبالتالي، يحصل المهاجمون على وصول غير قانوني إلى جميع الدردشات الحالية، باستثناء المحادثات السرية، بالإضافة إلى تاريخ المراسلات في هذه الدردشات، بما في ذلك الملفات والصور التي تم إرسالها إليهم. بعد اكتشاف ذلك، يمكن لمستخدم Telegram الشرعي إنهاء جلسة المهاجم بالقوة. وبفضل آلية الحماية المطبقة، لا يمكن أن يحدث العكس؛ فلا يمكن للمهاجم إنهاء الجلسات القديمة لمستخدم حقيقي خلال 24 ساعة. لذلك، من المهم اكتشاف جلسة خارجية في الوقت المناسب وإنهائها حتى لا تفقد إمكانية الوصول إلى حسابك. أرسل متخصصو Group-IB إخطارًا إلى فريق Telegram حول تحقيقهم في الموقف.
تستمر دراسة الأحداث، وفي الوقت الحالي لم يتم تحديد المخطط الدقيق الذي تم استخدامه لتجاوز عامل الرسائل القصيرة. في أوقات مختلفة، قدم الباحثون أمثلة على اعتراض الرسائل القصيرة باستخدام الهجمات على بروتوكولات SS7 أو Diameter المستخدمة في شبكات الهاتف المحمول. من الناحية النظرية، يمكن تنفيذ مثل هذه الهجمات من خلال الاستخدام غير القانوني لوسائل تقنية خاصة أو معلومات داخلية من مشغلي الهواتف المحمولة. على وجه الخصوص، في منتديات القراصنة على Darknet، هناك إعلانات جديدة مع عروض لاختراق برامج المراسلة المختلفة، بما في ذلك Telegram.
"لقد ذكر الخبراء في بلدان مختلفة، بما في ذلك روسيا، مرارًا وتكرارًا أنه يمكن اختراق الشبكات الاجتماعية والخدمات المصرفية عبر الهاتف المحمول والرسائل الفورية باستخدام ثغرة أمنية في بروتوكول SS7، ولكن هذه كانت حالات معزولة من الهجمات المستهدفة أو الأبحاث التجريبية،" يعلق سيرجي لوبانين، رئيس الشركة. من قسم التحقيق في الجرائم الإلكترونية في Group-IB، "في سلسلة من الحوادث الجديدة، والتي يوجد منها بالفعل أكثر من 10، أصبحت رغبة المهاجمين في وضع هذه الطريقة لكسب المال واضحة. من أجل منع حدوث ذلك، من الضروري زيادة مستوى النظافة الرقمية الخاص بك: على الأقل، استخدم المصادقة الثنائية حيثما أمكن ذلك، وأضف عاملًا ثانيًا إلزاميًا إلى الرسائل النصية القصيرة، والذي يتم تضمينه وظيفيًا في نفس Telegram. "
كيف تحمي نفسك؟
1. لقد نفذت Telegram بالفعل جميع خيارات الأمن السيبراني اللازمة التي من شأنها تقليل جهود المهاجمين إلى لا شيء.
2. على أجهزة iOS وAndroid الخاصة بـ Telegram، يتعين عليك الانتقال إلى إعدادات Telegram، وتحديد علامة التبويب "الخصوصية" وتعيين "كلمة المرور السحابية للتحقق بخطوتين" أو "التحقق بخطوتين". ويرد وصف تفصيلي لكيفية تمكين هذا الخيار في التعليمات الموجودة على الموقع الرسمي للرسول: (https://telegram.org/blog/sessions-and-2-step-verification)
3. من المهم عدم تعيين عنوان بريد إلكتروني لاستعادة كلمة المرور هذه، لأنه كقاعدة عامة، يتم استرداد كلمة مرور البريد الإلكتروني أيضًا عبر الرسائل القصيرة. وبنفس الطريقة، يمكنك زيادة أمان حساب WhatsApp الخاص بك.
المصدر: www.habr.com