Na konci roku 2019 kontaktovalo oddělení pro vyšetřování kybernetické kriminality Group-IB několik ruských podnikatelů, kteří se potýkali s problémem neoprávněného přístupu neznámých osob k jejich korespondenci v telegramovém messengeru. K incidentům došlo na zařízeních iOS a Android, bez ohledu na to, u kterého federálního mobilního operátora byla oběť klientem.
Útok začal tím, že uživatel obdržel zprávu v telegramovém messengeru z kanálu služby Telegram (toto je oficiální kanál messengeru s modrou ověřovací kontrolou) s potvrzovacím kódem, který si uživatel nevyžádal. Poté byla na smartphone oběti odeslána SMS s aktivačním kódem - a téměř okamžitě bylo v kanálu služby Telegram přijato oznámení, že účet byl přihlášen z nového zařízení.
Ve všech případech, o kterých Group-IB ví, se útočníci přihlásili k cizímu účtu přes mobilní internet (pravděpodobně pomocí jednorázových SIM karet) a IP adresa útočníků byla ve většině případů v Samaře.
Přístup na vyžádání
Studie společnosti Group-IB Computer Forensics Laboratory, kam byla elektronická zařízení obětí přenesena, ukázala, že zařízení nebylo infikováno spywarem nebo bankovním trojským koněm, účty nebyly hacknuty a SIM karta nebyla vyměněna. Ve všech případech útočníci získali přístup k messengeru oběti pomocí SMS kódů obdržených při přihlášení k účtu z nového zařízení.
Tento postup je následující: při aktivaci messengeru na novém zařízení odešle Telegram kód přes servisní kanál všem uživatelským zařízením a poté (na vyžádání) je odeslána SMS zpráva do telefonu. S vědomím toho útočníci sami iniciují požadavek, aby messenger poslal SMS s aktivačním kódem, tuto SMS zachytil a přijatý kód použil k úspěšnému přihlášení do messengeru.
Útočníci tak získávají nelegální přístup ke všem aktuálním chatům, kromě tajných, a také k historii korespondence v těchto chatech, včetně souborů a fotografií, které jim byly zaslány. Jakmile to legitimní uživatel telegramu zjistí, může násilně ukončit relaci útočníka. Díky implementovanému ochrannému mechanismu se nemůže stát opak, útočník nemůže ukončit starší relace reálného uživatele do 24 hodin. Proto je důležité vnější relaci včas odhalit a ukončit, abyste neztratili přístup ke svému účtu. Specialisté Group-IB zaslali týmu Telegramu oznámení o vyšetřování situace.
Studium incidentů pokračuje a v tuto chvíli není přesně stanoveno, jaké schéma bylo použito k obejití faktoru SMS. V různých dobách vědci uváděli příklady zachycování SMS pomocí útoků na protokoly SS7 nebo Diameter používané v mobilních sítích. Teoreticky mohou být takové útoky prováděny s nelegálním použitím speciálních technických prostředků nebo interních informací od mobilních operátorů. Zejména na fórech hackerů na Darknetu jsou čerstvé inzeráty s nabídkami na hacknutí různých poslů, včetně Telegramu.
„Odborníci v různých zemích, včetně Ruska, opakovaně uváděli, že sociální sítě, mobilní bankovnictví a instant messenger mohou být hacknuty pomocí zranitelnosti v protokolu SS7, ale byly to ojedinělé případy cílených útoků nebo experimentálního výzkumu,“ komentuje Sergey Lupanin, ředitel. z oddělení pro vyšetřování kybernetické kriminality ve skupině Group-IB: „Z řady nových incidentů, kterých je již více než 10, je zřejmá touha útočníků uvést tento způsob vydělávání peněz do provozu. Aby k tomu nedocházelo, je nutné zvýšit vlastní úroveň digitální hygieny: minimálně používejte dvoufaktorovou autentizaci všude, kde je to možné, a do SMS přidejte povinný druhý faktor, který je funkčně obsažen ve stejném telegramu. “
Jak se chránit?
1. Telegram již implementoval všechny potřebné možnosti kybernetické bezpečnosti, které sníží úsilí útočníků na nic.
2. Na zařízeních se systémem iOS a Android pro Telegram musíte přejít do nastavení telegramu, vybrat kartu „Soukromí“ a přiřadit „Cloudové hesloDvoufázové ověření“ nebo „Dvoufázové ověření“. Podrobný popis, jak tuto možnost povolit, je uveden v pokynech na oficiálních stránkách messengeru: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Je důležité nenastavovat e-mailovou adresu pro obnovení tohoto hesla, protože k obnovení hesla e-mailu zpravidla dochází také prostřednictvím SMS. Stejným způsobem můžete zvýšit zabezpečení svého účtu WhatsApp.
Zdroj: www.habr.com