Ende 2019 kontaktierten mehrere russische Unternehmer die Ermittlungsabteilung für Cyberkriminalität der Group-IB, die mit dem Problem des unbefugten Zugriffs unbekannter Personen auf ihre Korrespondenz im Telegram-Messenger konfrontiert waren. Die Vorfälle ereigneten sich auf iOS- und Android-Geräten, unabhängig davon, bei welchem Bundesnetzbetreiber das Opfer Kunde war.
Der Angriff begann damit, dass der Benutzer im Telegram-Messenger eine Nachricht vom Telegram-Dienstkanal (dies ist der offizielle Kanal des Messengers mit einem blauen Verifizierungshäkchen) mit einem Bestätigungscode erhielt, den der Benutzer nicht angefordert hatte. Anschließend wurde eine SMS mit einem Aktivierungscode an das Smartphone des Opfers gesendet – und fast sofort wurde im Telegram-Dienstkanal eine Benachrichtigung empfangen, dass das Konto von einem neuen Gerät aus angemeldet wurde.
In allen der Group-IB bekannten Fällen loggten sich die Angreifer über das mobile Internet (wahrscheinlich mit Einweg-SIM-Karten) in das Konto einer anderen Person ein und die IP-Adresse der Angreifer befand sich in den meisten Fällen in Samara.
Zugang auf Anfrage
Eine Studie des Group-IB Computer Forensics Laboratory, in das die elektronischen Geräte der Opfer transferiert wurden, ergab, dass die Geräte nicht mit Spyware oder Banking-Trojanern infiziert waren, die Konten nicht gehackt wurden und die SIM-Karte nicht ersetzt wurde. In allen Fällen verschafften sich die Angreifer Zugriff auf den Messenger des Opfers mithilfe von SMS-Codes, die sie beim Einloggen in das Konto von einem neuen Gerät aus erhalten hatten.
Dieser Vorgang ist wie folgt: Bei der Aktivierung des Messengers auf einem neuen Gerät sendet Telegram über den Servicekanal einen Code an alle Benutzergeräte und anschließend (auf Anfrage) eine SMS-Nachricht an das Telefon. Mit diesem Wissen initiieren die Angreifer selbst eine Anfrage an den Messenger, eine SMS mit einem Aktivierungscode zu senden, fangen diese SMS ab und nutzen den empfangenen Code, um sich erfolgreich beim Messenger anzumelden.
Dadurch erhalten Angreifer illegalen Zugriff auf alle aktuellen Chats, mit Ausnahme der geheimen, sowie auf den Verlauf der Korrespondenz in diesen Chats, einschließlich der an sie gesendeten Dateien und Fotos. Nachdem er dies entdeckt hat, kann ein legitimer Telegram-Benutzer die Sitzung des Angreifers zwangsweise beenden. Dank des implementierten Schutzmechanismus kann das Gegenteil nicht passieren: Ein Angreifer kann ältere Sitzungen eines echten Benutzers nicht innerhalb von 24 Stunden beenden. Daher ist es wichtig, eine externe Sitzung rechtzeitig zu erkennen und zu beenden, um den Zugriff auf Ihr Konto nicht zu verlieren. Die Spezialisten der Group-IB haben eine Benachrichtigung an das Telegram-Team über ihre Untersuchung der Situation gesendet.
Die Untersuchung der Vorfälle wird fortgesetzt, und derzeit ist nicht genau geklärt, welches Schema zur Umgehung des SMS-Faktors verwendet wurde. Zu verschiedenen Zeiten haben Forscher Beispiele für das Abfangen von SMS durch Angriffe auf die in Mobilfunknetzen verwendeten SS7- oder Diameter-Protokolle genannt. Theoretisch können solche Angriffe unter illegalem Einsatz spezieller technischer Mittel oder Insiderinformationen von Mobilfunkbetreibern durchgeführt werden. Insbesondere in Hacker-Foren im Darknet gibt es neue Anzeigen mit Angeboten zum Hacken verschiedener Messenger, darunter Telegram.
„Experten in verschiedenen Ländern, darunter auch Russland, haben wiederholt erklärt, dass soziale Netzwerke, Mobile Banking und Instant Messenger mithilfe einer Schwachstelle im SS7-Protokoll gehackt werden können, aber dies waren Einzelfälle gezielter Angriffe oder experimenteller Forschung“, kommentiert Sergey Lupanin, Leiter von der Ermittlungsabteilung für Cyberkriminalität bei Group-IB: „In einer Reihe neuer Vorfälle, von denen es bereits mehr als zehn gibt, ist der Wunsch der Angreifer, diese Methode des Geldverdienens in Gang zu bringen, offensichtlich.“ Um dies zu verhindern, ist es notwendig, die eigene digitale Hygiene zu erhöhen: Verwenden Sie mindestens nach Möglichkeit eine Zwei-Faktor-Authentifizierung und fügen Sie SMS einen obligatorischen zweiten Faktor hinzu, der funktional im selben Telegram enthalten ist. ”
Wie schützt man sich?
1. Telegram hat bereits alle notwendigen Cybersicherheitsoptionen implementiert, die den Aufwand von Angreifern auf Null reduzieren.
2. Auf iOS- und Android-Geräten für Telegram müssen Sie zu den Telegram-Einstellungen gehen, die Registerkarte „Datenschutz“ auswählen und „Cloud-Passwort – Bestätigung in zwei Schritten“ oder „Verifizierung in zwei Schritten“ zuweisen. Eine detaillierte Beschreibung, wie Sie diese Option aktivieren, finden Sie in der Anleitung auf der offiziellen Website des Messengers: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Es ist wichtig, keine E-Mail-Adresse für die Wiederherstellung dieses Passworts festzulegen, da die Wiederherstellung des E-Mail-Passworts in der Regel auch per SMS erfolgt. Auf die gleiche Weise können Sie die Sicherheit Ihres WhatsApp-Kontos erhöhen.
Source: habr.com