Vuoden 2019 lopussa useat venäläiset yrittäjät ottivat yhteyttä Group-IB:n kyberrikosten tutkintaosastoon, ja he kohtasivat ongelman, jonka mukaan tuntemattomat henkilöt pääsivät luvattomasti heidän Telegram Messenger -viestintään. Tapahtumat tapahtuivat iOS- ja Android-laitteilla riippumatta siitä, minkä liittovaltion matkapuhelinoperaattorin asiakas uhri oli.
Hyökkäys alkoi siitä, että käyttäjä sai Telegram-palvelukanavalta viestin (tämä on sanansaattajan virallinen kanava, jossa on sininen vahvistustarkistus) viestin, jossa oli vahvistuskoodi, jota käyttäjä ei pyytänyt. Tämän jälkeen uhrin älypuhelimeen lähetettiin tekstiviesti aktivointikoodilla - ja Telegram-palvelukanavaan tuli melkein heti ilmoitus, että tili on kirjautunut sisään uudesta laitteesta.
Kaikissa Group-IB:n tiedossa olevissa tapauksissa hyökkääjät kirjautuivat jonkun toisen tilille mobiili-Internetin kautta (todennäköisesti kertakäyttöisten SIM-korttien avulla), ja hyökkääjien IP-osoite oli useimmiten Samarassa.
Pääsy pyynnöstä
Group-IB Computer Forensics Laboratoryn tutkimus, johon uhrien elektroniset laitteet siirrettiin, osoitti, että laitteet eivät olleet vakoiluohjelmien tai pankkitroijalaisen saastuttamia, tilejä ei ole hakkeroitu eikä SIM-korttia vaihdettu. Kaikissa tapauksissa hyökkääjät pääsivät uhrin lähettiin SMS-koodeilla, jotka saatiin kirjautuessaan tilille uudelta laitteelta.
Tämä menettely on seuraava: aktivoitaessa messengerin uudessa laitteessa Telegram lähettää palvelukanavan kautta koodin kaikille käyttäjälaitteille ja sitten (pyynnöstä) lähetetään tekstiviesti puhelimeen. Tämän tiedossa hyökkääjät itse pyytävät messengeriä lähettämään tekstiviestin aktivointikoodilla, sieppaamaan tämän tekstiviestin ja käyttämään vastaanotettua koodia onnistuneesti kirjautumaan messengeriin.
Siten hyökkääjät saavat laittoman pääsyn kaikkiin nykyisiin keskusteluihin, paitsi salaisia, sekä näiden keskustelujen kirjeenvaihtohistoriaan, mukaan lukien heille lähetetyt tiedostot ja valokuvat. Tämän havaittuaan laillinen Telegram-käyttäjä voi lopettaa hyökkääjän istunnon väkisin. Toteutetun suojausmekanismin ansiosta päinvastaista ei voi tapahtua: hyökkääjä ei voi lopettaa oikean käyttäjän vanhempia istuntoja 24 tunnin sisällä. Siksi on tärkeää havaita ulkopuolinen istunto ajoissa ja lopettaa se, jotta et menetä pääsyä tiliisi. Group-IB:n asiantuntijat lähettivät Telegram-tiimille ilmoituksen tilanteen selvittämisestä.
Tapahtumien tutkiminen jatkuu, eikä tällä hetkellä ole tarkasti selvitetty, millä menetelmällä SMS-tekijä ohitettiin. Tutkijat ovat eri aikoina antaneet esimerkkejä tekstiviestien sieppauksesta, jossa on hyökätty mobiiliverkoissa käytettyihin SS7- tai Diameter-protokolliin. Teoriassa tällaiset hyökkäykset voidaan toteuttaa käyttämällä laittomasti erityisiä teknisiä keinoja tai matkapuhelinoperaattoreiden sisäpiiritietoa. Erityisesti Darknetin hakkerifoorumeilla on tuoreita mainoksia tarjouksista hakkeroida erilaisia lähettiläitä, mukaan lukien Telegram.
"Asiantuntijat eri maissa, mukaan lukien Venäjä, ovat toistuvasti todenneet, että sosiaaliset verkostot, mobiilipankkipalvelut ja pikaviestit voidaan hakkeroida käyttämällä SS7-protokollan haavoittuvuutta, mutta nämä olivat yksittäisiä kohdennettuja hyökkäyksiä tai kokeellista tutkimusta", kommentoi johtaja Sergey Lupanin . Group-IB:n kyberrikostutkintaosastolta: ”Uusien tapausten sarjassa, joita on jo yli 10, hyökkääjien halu tuoda tämä rahanhankintatapa käyttöön on ilmeinen. Tämän estämiseksi on tarpeen nostaa omaa digitaalista hygieniatasoa: käytä vähintään kaksivaiheista todennusta aina kun mahdollista ja lisää tekstiviestiin pakollinen toinen tekijä, joka sisältyy toiminnallisesti samaan Telegramiin. ”
Kuinka suojella itseäsi?
1. Telegram on jo ottanut käyttöön kaikki tarvittavat kyberturvallisuusvaihtoehdot, jotka vähentävät hyökkääjien ponnisteluja.
2. Telegramin iOS- ja Android-laitteissa sinun on siirryttävä Telegram-asetuksiin, valittava "Tietosuoja"-välilehti ja määritettävä "PilvesalasanaKaksivaiheinen vahvistus" tai "Kaksivaiheinen vahvistus". Yksityiskohtainen kuvaus tämän vaihtoehdon käyttöönotosta annetaan ohjeissa messengerin virallisella verkkosivustolla: (https://telegram.org/blog/sessions-and-2-step-verification)
3. On tärkeää olla asettamatta sähköpostiosoitetta tämän salasanan palauttamiseksi, koska sähköpostin salasanan palautus tapahtuu yleensä myös tekstiviestillä. Samalla tavalla voit lisätä WhatsApp-tilisi turvallisuutta.
Lähde: will.com