A finales de 2019, varios empresarios rusos se pusieron en contacto con el departamento de investigación de delitos cibernéticos del Grupo IB y se encontraron con el problema del acceso no autorizado por parte de desconocidos a su correspondencia en el mensajero Telegram. Los incidentes ocurrieron en dispositivos iOS y Android, independientemente del operador celular federal del que era cliente la víctima.
El ataque comenzó cuando el usuario recibió un mensaje en Telegram Messenger del canal de servicio de Telegram (este es el canal oficial del Messenger con un cheque de verificación azul) con un código de confirmación que el usuario no solicitó. Después de esto, se envió un SMS con un código de activación al teléfono inteligente de la víctima y casi de inmediato se recibió una notificación en el canal de servicio Telegram de que se había iniciado sesión en la cuenta desde un nuevo dispositivo.
En todos los casos que Group-IB tiene conocimiento, los atacantes iniciaron sesión en la cuenta de otra persona a través de Internet móvil (probablemente usando tarjetas SIM desechables), y la dirección IP de los atacantes en la mayoría de los casos estaba en Samara.
Acceso previa solicitud
Un estudio del Laboratorio de Informática Forense del Grupo IB, donde fueron trasladados los dispositivos electrónicos de las víctimas, demostró que los equipos no estaban infectados con software espía o troyano bancario, las cuentas no fueron pirateadas y la tarjeta SIM no fue reemplazada. En todos los casos, los atacantes obtuvieron acceso al mensajero de la víctima utilizando códigos SMS recibidos al iniciar sesión en la cuenta desde un nuevo dispositivo.
Este procedimiento es el siguiente: al activar Messenger en un nuevo dispositivo, Telegram envía un código a través del canal de servicio a todos los dispositivos del usuario y luego (previa solicitud) se envía un mensaje SMS al teléfono. Sabiendo esto, los propios atacantes inician una solicitud para que el mensajero envíe un SMS con un código de activación, interceptan este SMS y utilizan el código recibido para iniciar sesión con éxito en el mensajero.
De esta forma, los atacantes obtienen acceso ilegal a todos los chats actuales, excepto a los secretos, así como al historial de correspondencia en estos chats, incluidos los archivos y fotografías que les fueron enviados. Habiendo descubierto esto, un usuario legítimo de Telegram puede cerrar por la fuerza la sesión del atacante. Gracias al mecanismo de protección implementado, no puede ocurrir lo contrario: un atacante no puede finalizar sesiones anteriores de un usuario real en un plazo de 24 horas. Por eso, es importante detectar a tiempo una sesión externa y finalizarla para no perder el acceso a tu cuenta. Los especialistas de Group-IB enviaron una notificación al equipo de Telegram sobre su investigación de la situación.
El estudio de las incidencias continúa, y de momento no está establecido exactamente qué esquema se utilizó para saltarse el factor SMS. En varias ocasiones, los investigadores han dado ejemplos de interceptación de SMS mediante ataques a los protocolos SS7 o Diámetro utilizados en redes móviles. En teoría, estos ataques pueden llevarse a cabo mediante el uso ilegal de medios técnicos especiales o información privilegiada de los operadores de telefonía móvil. En particular, en los foros de hackers de Darknet aparecen nuevos anuncios con ofertas para hackear varios mensajeros, incluido Telegram.
"Los expertos de diferentes países, incluida Rusia, han afirmado repetidamente que las redes sociales, la banca móvil y la mensajería instantánea se pueden piratear utilizando una vulnerabilidad en el protocolo SS7, pero estos fueron casos aislados de ataques dirigidos o investigación experimental", comenta Sergey Lupanin, director del departamento de investigación de delitos cibernéticos del Grupo-IB: “En una serie de nuevos incidentes, de los cuales ya hay más de 10, el deseo de los atacantes de poner en marcha este método de ganar dinero es evidente. Para evitar que esto suceda, es necesario aumentar su propio nivel de higiene digital: como mínimo, utilice la autenticación de dos factores siempre que sea posible y agregue un segundo factor obligatorio a los SMS, que funcionalmente están incluidos en el mismo Telegram. "
¿Cómo protegerse?
1. Telegram ya ha implementado todas las opciones de ciberseguridad necesarias que reducirán a nada los esfuerzos de los atacantes.
2. En dispositivos iOS y Android para Telegram, debe ir a la configuración de Telegram, seleccionar la pestaña "Privacidad" y asignar "Contraseña de la nubeVerificación en dos pasos" o "Verificación en dos pasos". Se proporciona una descripción detallada de cómo habilitar esta opción en las instrucciones en el sitio web oficial del Messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Es importante no configurar una dirección de correo electrónico para recuperar esta contraseña, ya que, por regla general, la recuperación de la contraseña del correo electrónico también se realiza mediante SMS. De la misma forma, podrás aumentar la seguridad de tu cuenta de WhatsApp.
Fuente: habr.com