I slutningen af 2019 kontaktede flere russiske iværksættere Group-IB's afdeling for efterforskning af cyberkriminalitet, efter at de havde oplevet uautoriseret adgang til deres Telegram-beskeder. Hændelserne fandt sted på iOS- og Android-enheder. Android, uanset hvilken føderal mobiloperatør offeret var kunde hos.
Angrebet begyndte med, at brugeren modtog en besked i Telegram-messengeren fra Telegram-tjenestekanalen (dette er messengerens officielle kanal med et blåt verifikationsflueben) med en bekræftelseskode, som brugeren ikke anmodede om. Herefter blev der sendt en SMS med en aktiveringskode til ofrets smartphone, og næsten øjeblikkeligt blev der sendt en meddelelse til Telegram-tjenestekanalen om, at kontoen var blevet logget ind fra en ny enhed.
I alle tilfælde kendt af Group-IB loggede angriberne ind på en andens konto via mobilt internet (sandsynligvis ved hjælp af engangs-SIM-kort), og angribernes IP-adresse var i de fleste tilfælde placeret i Samara.
Adgang efter anmodning
En undersøgelse foretaget af Group-IB Computer Forensics Laboratory, hvor ofrenes elektroniske enheder blev overført, viste, at udstyret ikke var inficeret med spyware eller en banktrojaner, konti blev ikke hacket, og SIM-kortet blev ikke udskiftet. I alle tilfælde fik angriberne adgang til offerets messenger ved hjælp af SMS-koder modtaget, når de loggede ind på kontoen fra en ny enhed.
Denne procedure ser sådan ud: Når du aktiverer messengeren på en ny enhed, sender Telegram en kode gennem servicekanalen til alle brugerens enheder, og derefter (efter anmodning) sendes en SMS-besked til telefonen. Ved at vide dette, initierer angriberne selv en anmodning til messengeren om at sende en SMS med en aktiveringskode, opsnappe denne SMS og bruge den modtagne kode til vellykket autorisation i messengeren.
På denne måde får angribere ulovlig adgang til alle aktuelle chats undtagen hemmelige, samt til historien om korrespondance i disse chats, inklusive filer og billeder, der blev sendt til dem. Når dette først er opdaget, kan en legitim Telegram-bruger med magt afslutte angriberens session. Takket være den implementerede beskyttelsesmekanisme kan det modsatte ikke ske; en hacker kan ikke afslutte ældre sessioner af en rigtig bruger inden for 24 timer. Derfor er det vigtigt at opdage en uautoriseret session i tide og afslutte den for ikke at miste adgangen til din konto. Group-IB-specialister sendte en meddelelse til Telegram-teamet om deres undersøgelse af situationen.
Efterforskningen af hændelserne er i gang, og på nuværende tidspunkt er det ikke klart, hvilken ordning der blev brugt til at omgå SMS-faktoren. På forskellige tidspunkter har forskere nævnt eksempler på SMS-aflytning ved hjælp af angreb på SS7- eller Diameter-protokollerne, der bruges i mobilnetværk. Teoretisk set kunne sådanne angreb udføres med ulovlig brug af særlige tekniske midler eller insiderinformation hos mobiloperatører. Især på hackerfora på Darknet er der friske annoncer, der tilbyder at hacke forskellige budbringere, inklusive Telegram.
"Eksperter i forskellige lande, herunder Rusland, har gentagne gange udtalt, at sociale netværk, mobilbanker og instant messengers kan hackes ved hjælp af en sårbarhed i SS7-protokollen, men disse var isolerede tilfælde af målrettede angreb eller eksperimentelle undersøgelser," siger Sergey Lupanin, leder af efterforskningsafdelingen for cyberkriminalitet hos Group-IB. "I en række nye hændelser, hvoraf der allerede er mere end 10, er det indlysende, at angriberne ønsker at sætte denne metode til at tjene penge på stream. For at forhindre dette i at ske, er det nødvendigt at øge dit eget niveau af digital hygiejne: Brug som minimum to-faktor autentificering, hvor det er muligt, og tilføje en obligatorisk anden faktor til SMS, som er funktionelt indbygget i det samme telegram."
Hvordan beskytter man sig selv?
1. Telegram har allerede alle de nødvendige cybersikkerhedsmuligheder implementeret, hvilket vil reducere angribernes indsats til ingenting.
2. På iOS-enheder og Android For Telegram skal du gå til Telegram-indstillinger, vælge fanen "Privatliv" og indstille "Cloud-adgangskode/Totrinsbekræftelse". Detaljerede instruktioner om, hvordan du aktiverer denne mulighed, er tilgængelige på messengers officielle hjemmeside: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Det er vigtigt ikke at angive en e-mailadresse til at gendanne denne adgangskode, da e-mail-adgangskodegendannelse som regel også sker via SMS. På lignende måde kan du øge sikkerheden på din WhatsApp-konto.
Kilde: www.habr.com
