A finals del 2019, diversos empresaris russos es van posar en contacte amb el departament d'investigació de cibercrims del Grup-IB que es van enfrontar al problema de l'accés no autoritzat de persones desconegudes a la seva correspondència al missatger de Telegram. Els incidents es van produir en dispositius iOS i Android, independentment de quin operador cel·lular federal fos client de la víctima.
L'atac va començar quan l'usuari va rebre un missatge a Telegram messenger des del canal de servei de Telegram (aquest és el canal oficial del messenger amb una verificació blava) amb un codi de confirmació que l'usuari no va demanar. Després d'això, es va enviar un SMS amb un codi d'activació al telèfon intel·ligent de la víctima i gairebé immediatament es va rebre una notificació al canal de servei de Telegram que el compte havia estat iniciat des d'un dispositiu nou.
En tots els casos que el Grup-IB coneix, els atacants van iniciar sessió al compte d'una altra persona a través d'Internet mòbil (probablement utilitzant targetes SIM d'un sol ús), i l'adreça IP dels atacants en la majoria dels casos es trobava a Samara.
Accés a petició
Un estudi del Laboratori d'Informàtica Forense del Grup-IB, on es van transferir els dispositius electrònics de les víctimes, va demostrar que l'equip no estava infectat amb programari espia o troià bancari, els comptes no van ser piratejats i la targeta SIM no es va substituir. En tots els casos, els atacants van obtenir accés al missatger de la víctima mitjançant els codis SMS rebuts en iniciar sessió al compte des d'un dispositiu nou.
Aquest procediment és el següent: quan s'activa el missatger en un dispositiu nou, Telegram envia un codi a través del canal de servei a tots els dispositius de l'usuari, i després (a petició) s'envia un missatge SMS al telèfon. Sabent això, els mateixos atacants inicien una sol·licitud perquè el missatger enviï un SMS amb un codi d'activació, intercepti aquest SMS i utilitzi el codi rebut per iniciar sessió correctament al missatger.
Així, els atacants obtenen accés il·legal a tots els xats actuals, excepte els secrets, així com a l'historial de correspondència en aquests xats, inclosos els fitxers i les fotos que se'ls han enviat. Un cop descobert això, un usuari legítim de Telegram pot cancel·lar la sessió de l'atacant per força. Gràcies al mecanisme de protecció implementat, no pot passar el contrari; un atacant no pot finalitzar les sessions anteriors d'un usuari real en 24 hores. Per tant, és important detectar a temps una sessió externa i finalitzar-la per no perdre l'accés al teu compte. Els especialistes del Grup-IB van enviar una notificació a l'equip de Telegram sobre la seva investigació de la situació.
L'estudi de les incidències continua, i de moment no s'estableix amb exactitud quin esquema s'ha utilitzat per saltar el factor SMS. En diversos moments, els investigadors han donat exemples d'intercepció d'SMS mitjançant atacs als protocols SS7 o Diameter utilitzats a les xarxes mòbils. Teòricament, aquests atacs es poden dur a terme amb l'ús il·legal de mitjans tècnics especials o informació privilegiada dels operadors mòbils. En particular, als fòrums de pirates informàtics a Darknet hi ha anuncis nous amb ofertes per piratejar diversos missatgers, inclòs Telegram.
"Els experts de diferents països, inclosa Rússia, han afirmat repetidament que les xarxes socials, la banca mòbil i la missatgeria instantània es poden piratejar mitjançant una vulnerabilitat del protocol SS7, però es tractava de casos aïllats d'atacs dirigits o d'investigació experimental", comenta Sergey Lupanin, cap. del departament d'investigació de ciberdelinqüència del Grup-IB, “En una sèrie de nous incidents, dels quals ja n'hi ha més de 10, el desig dels atacants de posar en marxa aquest mètode de guanyar diners és evident. Per evitar que això passi, cal augmentar el vostre propi nivell d'higiene digital: com a mínim, utilitzeu l'autenticació de dos factors sempre que sigui possible i afegiu un segon factor obligatori als SMS, que s'inclou funcionalment al mateix Telegram. ”
Com protegir-se?
1. Telegram ja ha implementat totes les opcions de ciberseguretat necessàries que reduiran a res els esforços dels atacants.
2. En dispositius iOS i Android per a Telegram, heu d'anar a la configuració de Telegram, seleccionar la pestanya "Privadesa" i assignar "Contrasenya de núvol Verificació en dos passos" o "Verificació en dos passos". Una descripció detallada de com activar aquesta opció es dóna a les instruccions del lloc web oficial del missatger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. És important no establir una adreça de correu electrònic per recuperar aquesta contrasenya, ja que, per regla general, la recuperació de la contrasenya de correu electrònic també es produeix per SMS. De la mateixa manera, pots augmentar la seguretat del teu compte de WhatsApp.
Font: www.habr.com