Ar ddiwedd 2019, cysylltodd sawl entrepreneur o Rwsia ag adran ymchwilio seiberdroseddu Group-IB a oedd yn wynebu’r broblem o fynediad heb awdurdod gan bobl anhysbys i’w gohebiaeth yn negesydd Telegram. Digwyddodd y digwyddiadau ar ddyfeisiau iOS ac Android, ni waeth pa weithredwr cellog ffederal yr oedd y dioddefwr yn gleient iddo.
Dechreuodd yr ymosodiad gyda'r defnyddiwr yn derbyn neges yn y negesydd Telegram o sianel gwasanaeth Telegram (dyma sianel swyddogol y negesydd gyda gwiriad dilysu glas) gyda chod cadarnhau na ofynnodd y defnyddiwr amdano. Ar ôl hyn, anfonwyd SMS gyda chod actifadu i ffôn clyfar y dioddefwr - a bron ar unwaith cafwyd hysbysiad yn sianel gwasanaeth Telegram bod y cyfrif wedi'i fewngofnodi o ddyfais newydd.
Ym mhob achos y mae Group-IB yn ymwybodol ohono, fe wnaeth yr ymosodwyr fewngofnodi i gyfrif rhywun arall trwy'r Rhyngrwyd symudol (yn ôl pob tebyg gan ddefnyddio cardiau SIM tafladwy), ac roedd cyfeiriad IP yr ymosodwyr yn Samara yn y rhan fwyaf o achosion.
Mynediad ar gais
Dangosodd astudiaeth gan Labordy Fforensig Cyfrifiadurol Group-IB, lle trosglwyddwyd dyfeisiau electronig y dioddefwyr, nad oedd yr offer wedi'i heintio ag ysbïwedd na bancio Trojan, ni chafodd y cyfrifon eu hacio, ac ni chafodd y cerdyn SIM ei ddisodli. Ym mhob achos, cafodd yr ymosodwyr fynediad at negesydd y dioddefwr gan ddefnyddio codau SMS a dderbyniwyd wrth fewngofnodi i'r cyfrif o ddyfais newydd.
Mae'r weithdrefn hon fel a ganlyn: wrth actifadu'r negesydd ar ddyfais newydd, mae Telegram yn anfon cod trwy'r sianel gwasanaeth i bob dyfais defnyddiwr, ac yna (ar gais) anfonir neges SMS at y ffôn. Gan wybod hyn, mae'r ymosodwyr eu hunain yn cychwyn cais i'r negesydd anfon SMS gyda chod actifadu, rhyng-gipio'r SMS hwn a defnyddio'r cod a dderbyniwyd i fewngofnodi'n llwyddiannus i'r negesydd.
Felly, mae ymosodwyr yn cael mynediad anghyfreithlon i'r holl sgyrsiau cyfredol, ac eithrio rhai cyfrinachol, yn ogystal â hanes gohebiaeth yn y sgyrsiau hyn, gan gynnwys ffeiliau a lluniau a anfonwyd atynt. Ar ôl darganfod hyn, gall defnyddiwr Telegram cyfreithlon derfynu sesiwn yr ymosodwr yn rymus. Diolch i'r mecanwaith amddiffyn a weithredwyd, ni all y gwrthwyneb ddigwydd; ni all ymosodwr derfynu sesiynau hŷn defnyddiwr go iawn o fewn 24 awr. Felly, mae'n bwysig canfod sesiwn allanol mewn pryd a'i gorffen er mwyn peidio â cholli mynediad i'ch cyfrif. Anfonodd arbenigwyr Group-IB hysbysiad at dîm Telegram am eu hymchwiliad i'r sefyllfa.
Mae'r astudiaeth o'r digwyddiadau yn parhau, ac ar hyn o bryd nid yw wedi'i sefydlu yn union pa gynllun a ddefnyddiwyd i osgoi'r ffactor SMS. Ar wahanol adegau, mae ymchwilwyr wedi rhoi enghreifftiau o ryng-gipio SMS gan ddefnyddio ymosodiadau ar y protocolau SS7 neu Diamedr a ddefnyddir mewn rhwydweithiau symudol. Yn ddamcaniaethol, gellir cynnal ymosodiadau o'r fath gyda defnydd anghyfreithlon o ddulliau technegol arbennig neu wybodaeth fewnol gan weithredwyr cellog. Yn benodol, ar fforymau haciwr ar y Darknet mae yna hysbysebion ffres gyda chynigion i hacio negeswyr amrywiol, gan gynnwys Telegram.
“Mae arbenigwyr mewn gwahanol wledydd, gan gynnwys Rwsia, wedi datgan dro ar ôl tro y gellir hacio rhwydweithiau cymdeithasol, bancio symudol a negeswyr gwib gan ddefnyddio bregusrwydd yn y protocol SS7, ond roedd y rhain yn achosion ynysig o ymosodiadau wedi’u targedu neu ymchwil arbrofol,” meddai Sergey Lupanin, pennaeth o’r adran ymchwilio i seiberdroseddu yn Group-IB, “Mewn cyfres o ddigwyddiadau newydd, y mae mwy na 10 ohonynt eisoes, mae awydd ymosodwyr i roi’r dull hwn o ennill arian ar waith yn amlwg. Er mwyn atal hyn rhag digwydd, mae angen cynyddu eich lefel eich hun o hylendid digidol: o leiaf, defnyddiwch ddilysiad dau ffactor lle bynnag y bo modd, ac ychwanegwch ail ffactor gorfodol i SMS, sydd wedi'i gynnwys yn swyddogaethol yn yr un Telegram. ”
Sut i amddiffyn eich hun?
1. Mae Telegram eisoes wedi gweithredu'r holl opsiynau cybersecurity angenrheidiol a fydd yn lleihau ymdrechion ymosodwyr i ddim.
2. Ar ddyfeisiau iOS ac Android ar gyfer Telegram, mae angen i chi fynd i'r gosodiadau Telegram, dewiswch y tab "Preifatrwydd" a aseinio "Cloud passwordTwo step verification" neu "Dau step verification". Rhoddir disgrifiad manwl o sut i alluogi'r opsiwn hwn yn y cyfarwyddiadau ar wefan swyddogol y negesydd: ( https://telegram.org/blog/sessions-and-2-step-verification )
3. Mae'n bwysig peidio â gosod cyfeiriad e-bost i adennill cyfrinair hwn, ers, fel rheol, adfer cyfrinair e-bost hefyd yn digwydd drwy SMS. Yn yr un modd, gallwch gynyddu diogelwch eich cyfrif WhatsApp.
Ffynhonnell: hab.com