Fine de 2019, pluraj rusaj entreprenistoj kontaktis la fakon de esploro pri ciberkrimoj de Grupo-IB, kiuj alfrontis la problemon de neaŭtorizita aliro de nekonataj personoj al sia korespondado en la Telegram-mesaĝo. La okazaĵoj okazis sur iOS kaj Android-aparatoj, sendepende de kiu federacia ĉela funkciigisto la viktimo estis kliento.
La atako komenciĝis kun la uzanto ricevanta mesaĝon en la Telegram-mesaĝo de la Telegram-servokanalo (ĉi tio estas la oficiala kanalo de la mesaĝisto kun blua kontrola kontrolo) kun konfirma kodo, kiun la uzanto ne petis. Post tio, SMS kun aktiviga kodo estis sendita al la inteligenta telefono de la viktimo - kaj preskaŭ tuj ricevis sciigon en la Telegram-servokanalo, ke la konto estis ensalutinta de nova aparato.
En ĉiuj kazoj, pri kiuj Grupo-IB konscias, la atakantoj ensalutis en la konton de aliulo per la movebla Interreto (verŝajne uzante unu-uzeblajn SIM-kartojn), kaj la IP-adreso de la atakantoj plejofte estis en Samara.
Aliro laŭ peto
Studo de la Grupo-IB Komputila Krimmedicina Laboratorio, kie la elektronikaj aparatoj de la viktimoj estis translokigitaj, montris, ke la ekipaĵo ne estis infektita per spionvaro aŭ banka trojano, la kontoj ne estis hakitaj, kaj la SIM-karto ne estis anstataŭigita. En ĉiuj kazoj, la atakantoj akiris aliron al la mesaĝisto de la viktimo uzante SMS-kodojn ricevitajn ensalutinte en la konton de nova aparato.
Ĉi tiu proceduro estas jena: kiam vi aktivigas la mesaĝiston sur nova aparato, Telegram sendas kodon tra la serva kanalo al ĉiuj uzant-aparatoj, kaj tiam (laŭ peto) SMS-mesaĝo estas sendita al la telefono. Sciante tion, la atakantoj mem iniciatas peton por la mesaĝisto sendi SMS kun aktiviga kodo, kapti ĉi tiun SMS kaj uzi la ricevitan kodon por sukcese ensaluti al la mesaĝisto.
Tiel, atakantoj akiras kontraŭleĝan aliron al ĉiuj nunaj babilejoj, krom sekretaj, same kiel al la historio de korespondado en ĉi tiuj babilejoj, inkluzive de dosieroj kaj fotoj kiuj estis senditaj al ili. Malkovrinte tion, legitima Telegram-uzanto povas perforte ĉesigi la sesion de la atakanto. Danke al la efektivigita protekta mekanismo, la malo ne povas okazi; atakanto ne povas ĉesigi pli malnovajn sesiojn de vera uzanto ene de 24 horoj. Tial gravas detekti eksteran sesion ĝustatempe kaj fini ĝin por ne perdi aliron al via konto. Specialistoj de Grupo-IB sendis sciigon al la Telegram-teamo pri sia esploro de la situacio.
La studo de la okazaĵoj daŭras, kaj nuntempe ne estas establita precize, kia skemo estis uzata por preteriri la SMS-faktoron. En diversaj tempoj, esploristoj donis ekzemplojn de SMS-interkapto uzante atakojn sur la SS7 aŭ Diameter-protokoloj uzataj en moveblaj retoj. Teorie, tiaj atakoj povas esti faritaj kun la kontraŭleĝa uzo de specialaj teknikaj rimedoj aŭ internaj informoj de ĉelaj telefonistoj. Precipe, sur retpirataj forumoj sur la Darknet estas freŝaj reklamoj kun ofertoj por haki diversajn mesaĝistojn, inkluzive de Telegramo.
"Spertuloj en malsamaj landoj, inkluzive de Rusio, plurfoje deklaris, ke sociaj retoj, poŝtelefonaj bankoj kaj tujmesaĝiloj povas esti hakitaj uzante vundeblecon en la protokolo SS7, sed ĉi tiuj estis izolitaj kazoj de celitaj atakoj aŭ eksperimentaj esploroj," komentas Sergey Lupanin, estro. de la fako pri esploro pri ciberkrimo ĉe Group-IB, "En serio de novaj okazaĵoj, el kiuj estas jam pli ol 10, la deziro de atakantoj meti ĉi tiun metodon por gajni monon estas evidenta. Por eviti ke tio okazu, necesas pliigi vian propran nivelon de cifereca higieno: minimume uzu dufaktoran aŭtentikigon kiam ajn eblas, kaj aldonu devigan duan faktoron al SMS, kiu estas funkcie inkluzivita en la sama Telegramo. ”
Kiel protekti vin mem?
1. Telegramo jam efektivigis ĉiujn necesajn cibersekurecajn elektojn, kiuj reduktos la klopodojn de atakantoj al nenio.
2. Sur iOS kaj Android-aparatoj por Telegramo, vi devas iri al la agordoj de Telegramo, elektu la langeton "Privateco" kaj asigni "Nuba pasvortoDupaŝa konfirmo" aŭ "Dupaŝa konfirmo". Detala priskribo pri kiel ebligi ĉi tiun opcion estas donita en la instrukcioj en la oficiala retejo de la mesaĝisto: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Gravas ne agordi retadreson por reakiri ĉi tiun pasvorton, ĉar, kiel regulo, retpoŝta pasvorta reakiro ankaŭ okazas per SMS. De la sama maniero, vi povas pliigi la sekurecon de via WhatsApp-konto.
fonto: www.habr.com