در پایان سال 2019، چندین کارآفرین روسی با بخش تحقیقات جرایم سایبری Group-IB تماس گرفتند که با مشکل دسترسی غیرمجاز افراد ناشناس به مکاتبات خود در پیام رسان تلگرام مواجه شدند. این حوادث در دستگاههای iOS و Android رخ داده است، صرف نظر از اینکه قربانی مشتری کدام اپراتور تلفن همراه فدرال بوده است.
حمله با دریافت پیامی در پیام رسان تلگرام توسط کاربر از کانال سرویس تلگرام (این کانال رسمی پیام رسان با چک تایید آبی رنگ است) با کد تاییدی که کاربر درخواست نکرده بود آغاز شد. پس از این، یک اس ام اس با یک کد فعال سازی به گوشی هوشمند قربانی ارسال شد - و تقریباً بلافاصله یک اعلان در کانال سرویس تلگرام دریافت شد که حساب از یک دستگاه جدید وارد شده است.
در تمام مواردی که Group-IB از آن آگاه است، مهاجمان از طریق اینترنت تلفن همراه (احتمالاً با استفاده از سیمکارتهای یکبار مصرف) به حساب شخص دیگری وارد شدهاند و آدرس IP مهاجمان در بیشتر موارد در سامارا بوده است.
دسترسی در صورت درخواست
یک مطالعه توسط آزمایشگاه پزشکی قانونی Group-IB، جایی که دستگاههای الکترونیکی قربانیان منتقل شدند، نشان داد که تجهیزات به جاسوسافزار یا تروجان بانکی آلوده نشدهاند، حسابها هک نشدهاند و سیمکارت جایگزین نشده است. در همه موارد، مهاجمان با استفاده از کدهای SMS دریافتی هنگام ورود به حساب از یک دستگاه جدید، به پیام رسان قربانی دسترسی پیدا کردند.
این روش به این صورت است که هنگام فعال سازی پیام رسان در دستگاه جدید، تلگرام یک کد از طریق کانال سرویس برای تمام دستگاه های کاربر ارسال می کند و سپس (در صورت درخواست) پیامک به تلفن ارسال می شود. با دانستن این موضوع، مهاجمان خود درخواستی را برای پیام رسان برای ارسال پیامک با کد فعال سازی، رهگیری این پیامک و استفاده از کد دریافتی برای ورود موفقیت آمیز به پیام رسان آغاز می کنند.
بنابراین، مهاجمان به تمام چت های فعلی، به جز موارد مخفی، و همچنین به تاریخچه مکاتبات در این چت ها، از جمله فایل ها و عکس هایی که برای آنها ارسال شده است، دسترسی غیرقانونی پیدا می کنند. با کشف این موضوع، یک کاربر قانونی تلگرام می تواند به زور جلسه مهاجم را خاتمه دهد. به لطف مکانیزم حفاظتی پیادهسازی شده، برعکس این اتفاق نمیافتد؛ مهاجم نمیتواند جلسات قدیمیتر یک کاربر واقعی را در عرض 24 ساعت خاتمه دهد. بنابراین، مهم است که یک جلسه خارجی را به موقع شناسایی کنید و آن را پایان دهید تا دسترسی به حساب خود را از دست ندهید. متخصصان Group-IB اطلاعیه ای را در مورد بررسی وضعیت به تیم تلگرام ارسال کردند.
بررسی حوادث ادامه دارد و در حال حاضر دقیقا مشخص نشده است که از چه طرحی برای دور زدن فاکتور پیامک استفاده شده است. در زمانهای مختلف، محققان نمونههایی از رهگیری پیامک را با استفاده از حملات به پروتکلهای SS7 یا Diameter مورد استفاده در شبکههای تلفن همراه ارائه کردهاند. از نظر تئوری، چنین حملاتی را می توان با استفاده غیرقانونی از ابزارهای فنی خاص یا اطلاعات داخلی اپراتورهای تلفن همراه انجام داد. به ویژه، در انجمن های هکرها در Darknet تبلیغات جدیدی با پیشنهادات برای هک کردن پیام رسان های مختلف از جمله تلگرام وجود دارد.
سرگئی لوپانین، سرپرست تیم تحقیق میگوید: «کارشناسان کشورهای مختلف از جمله روسیه بارها اعلام کردهاند که شبکههای اجتماعی، بانکهای تلفن همراه و پیامرسانهای فوری را میتوان با استفاده از یک آسیبپذیری در پروتکل SS7 هک کرد، اما این موارد تنها مواردی از حملات هدفمند یا تحقیقات تجربی بودند. از بخش تحقیقات جرایم سایبری در Group-IB، "در یک سری از حوادث جدید، که در حال حاضر بیش از 10 مورد وجود دارد، تمایل مهاجمان به استفاده از این روش کسب درآمد در جریان است. برای جلوگیری از این اتفاق، لازم است سطح بهداشت دیجیتال خود را افزایش دهید: حداقل از احراز هویت دو مرحلهای تا جایی که ممکن است استفاده کنید و یک فاکتور دوم اجباری را به پیامک اضافه کنید که از نظر کاربردی در همان تلگرام گنجانده شده است. ”
چگونه از خود محافظت کنیم؟
1. تلگرام در حال حاضر تمام گزینه های امنیتی سایبری لازم را اجرا کرده است که تلاش مهاجمان را به هیچ خواهد رساند.
2. در دستگاه های iOS و اندروید برای تلگرام، باید به تنظیمات تلگرام رفته، تب “Privacy” را انتخاب کرده و “Cloud passwordTwo step verification” یا “Two step verification” را اختصاص دهید. توضیح دقیق نحوه فعال کردن این گزینه در دستورالعمل های وب سایت رسمی پیام رسان آمده است: (https://telegram.org/blog/sessions-and-2-step-verification)
3. مهم است که برای بازیابی این رمز یک آدرس ایمیل تنظیم نکنید، زیرا به طور معمول بازیابی رمز عبور ایمیل از طریق پیامک نیز انجام می شود. به همین ترتیب می توانید امنیت اکانت واتس اپ خود را افزایش دهید.
منبع: www.habr.com