2019-cu ilin sonunda bir neçə rusiyalı sahibkar Telegram messencerində naməlum şəxslərin yazışmalarına icazəsiz daxil olma problemi ilə üzləşən Group-IB kibercinayətkarlıq üzrə araşdırma şöbəsi ilə əlaqə saxlayıb. Hadisələr qurbanın hansı federal mobil operatorun müştərisi olmasından asılı olmayaraq iOS və Android cihazlarında baş verib.
Hücum istifadəçinin Telegram messencerində Telegram xidmət kanalından (bu, messencerin mavi yoxlama çeki olan rəsmi kanalıdır) istifadəçinin tələb etmədiyi təsdiq kodu ilə mesaj alması ilə başlayıb. Bundan sonra qurbanın smartfonuna aktivasiya kodu olan SMS göndərildi və demək olar ki, dərhal Telegram xidmət kanalında hesabın yeni cihazdan daxil olması barədə bildiriş gəldi.
Group-IB-nin bildiyi bütün hallarda təcavüzkarlar mobil İnternet vasitəsilə başqasının hesabına daxil olublar (ehtimal ki, birdəfəlik SİM kartlardan istifadə etməklə) və təcavüzkarların IP ünvanı əksər hallarda Samarada olub.
İstək əsasında giriş
Qurbanların elektron cihazlarının köçürüldüyü Group-IB Kompüter Məhkəmə Laboratoriyasının araşdırması göstərdi ki, avadanlıq casus proqramlar və ya bank Trojanı ilə yoluxmayıb, hesablar sındırılmayıb və SİM kart dəyişdirilməyib. Bütün hallarda təcavüzkarlar yeni cihazdan hesaba daxil olarkən alınan SMS kodlarından istifadə edərək qurbanın messencerinə giriş əldə ediblər.
Bu prosedur belədir: messenceri yeni cihazda aktivləşdirərkən Telegram xidmət kanalı vasitəsilə bütün istifadəçi cihazlarına kod göndərir və sonra (istək əsasında) telefona SMS mesajı göndərilir. Bunu bilən təcavüzkarlar özləri messencerdən aktivasiya kodu ilə SMS göndərmək, bu SMS-i ələ keçirmək və messencerə uğurla daxil olmaq üçün alınan koddan istifadə etmək tələbi ilə müraciət edirlər.
Beləliklə, təcavüzkarlar gizli olanlar istisna olmaqla, bütün cari çatlara, həmçinin bu çatlardakı yazışmaların tarixçəsinə, o cümlədən onlara göndərilmiş fayl və fotoşəkillərə qeyri-qanuni giriş əldə edirlər. Bunu aşkar edən qanuni Telegram istifadəçisi təcavüzkarın sessiyasını zorla dayandıra bilər. Tətbiq olunan müdafiə mexanizmi sayəsində bunun əksi baş verə bilməz, təcavüzkar 24 saat ərzində real istifadəçinin köhnə seanslarını dayandıra bilməz. Buna görə, hesabınıza girişi itirməmək üçün kənar sessiyanı vaxtında aşkar etmək və onu bitirmək vacibdir. Group-IB mütəxəssisləri vəziyyəti araşdırdıqları barədə Telegram komandasına bildiriş göndəriblər.
Hadisələrin tədqiqi davam edir və hazırda SMS faktorundan yan keçmək üçün dəqiq hansı sxemdən istifadə edildiyi müəyyən edilməyib. Müxtəlif vaxtlarda tədqiqatçılar mobil şəbəkələrdə istifadə olunan SS7 və ya Diametr protokollarına hücumlardan istifadə edərək SMS-in ələ keçirilməsinə dair nümunələr vermişlər. Nəzəri cəhətdən bu cür hücumlar xüsusi texniki vasitələrdən və ya mobil operatorların daxili məlumatlarından qeyri-qanuni istifadə etməklə həyata keçirilə bilər. Xüsusilə, Darknet-dəki haker forumlarında müxtəlif messencerləri, o cümlədən Telegram-ı sındırmaq təklifləri ilə yeni reklamlar var.
"Müxtəlif ölkələrdə, o cümlədən Rusiyada ekspertlər dəfələrlə bəyan ediblər ki, sosial şəbəkələr, mobil bankçılıq və ani messencerlər SS7 protokolundakı boşluqdan istifadə etməklə sındırıla bilər, lakin bunlar məqsədyönlü hücumların və ya eksperimental tədqiqatların təcrid olunmuş hallarıdır", - Sergey Lupanin, rəhbəri şərh edir. Group-IB-də kibercinayətlərin araşdırılması şöbəsinin əməkdaşı, “Artıq 10-dan çoxu olan bir sıra yeni insidentlərdə təcavüzkarların pul qazanmağın bu üsulunu işə salmaq istəyi göz qabağındadır. Bunun baş verməməsi üçün öz rəqəmsal gigiyena səviyyənizi yüksəltmək lazımdır: minimum mümkün olan yerdə iki faktorlu autentifikasiyadan istifadə edin və funksional olaraq eyni Telegram-a daxil olan SMS-ə məcburi ikinci amil əlavə edin. ”
Özünüzü necə qorumalısınız?
1. Telegram təcavüzkarların səylərini heçə endirəcək bütün lazımi kibertəhlükəsizlik variantlarını artıq həyata keçirib.
2. Telegram üçün iOS və Android cihazlarında siz Telegram parametrlərinə keçməli, “Məxfilik” sekmesini seçməli və “Cloud passwordİki addımlı doğrulama” və ya “İki addımlı doğrulama” təyin etməlisiniz. Bu seçimi necə aktivləşdirməyin ətraflı təsviri messencerin rəsmi saytındakı təlimatlarda verilmişdir: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Bu parolu bərpa etmək üçün e-poçt ünvanı təyin etməmək vacibdir, çünki bir qayda olaraq, e-poçt parolunun bərpası SMS vasitəsilə də baş verir. Eyni şəkildə WhatsApp hesabınızın təhlükəsizliyini artıra bilərsiniz.
Mənbə: www.habr.com