Fin 2019, plusieurs entrepreneurs russes ont contacté le service d'enquête sur la cybercriminalité du Groupe-IB et ont été confrontés au problème de l'accès non autorisé par des inconnus à leur correspondance dans la messagerie Telegram. Les incidents se sont produits sur des appareils iOS et Android, quel que soit l'opérateur cellulaire fédéral dont la victime était cliente.
L'attaque a commencé lorsque l'utilisateur a reçu un message dans la messagerie Telegram du canal de service Telegram (il s'agit du canal officiel de la messagerie avec un contrôle de vérification bleu) avec un code de confirmation que l'utilisateur n'a pas demandé. Après cela, un SMS avec un code d'activation a été envoyé au smartphone de la victime - et presque immédiatement une notification a été reçue sur le canal de service Telegram indiquant que le compte avait été connecté à partir d'un nouvel appareil.
Dans tous les cas dont Group-IB a connaissance, les attaquants se sont connectés au compte de quelqu'un d'autre via l'Internet mobile (probablement à l'aide de cartes SIM jetables), et l'adresse IP des attaquants se trouvait dans la plupart des cas à Samara.
Accès sur demande
Une étude du laboratoire d'investigation informatique du Groupe-IB, où les appareils électroniques des victimes ont été transférés, a montré que l'équipement n'était pas infecté par un logiciel espion ou un cheval de Troie bancaire, que les comptes n'avaient pas été piratés et que la carte SIM n'avait pas été remplacée. Dans tous les cas, les attaquants ont accédé à la messagerie de la victime grâce aux codes SMS reçus lors de la connexion au compte depuis un nouvel appareil.
Cette procédure est la suivante : lors de l'activation de la messagerie sur un nouvel appareil, Telegram envoie un code via le canal de service à tous les appareils de l'utilisateur, puis (sur demande) un message SMS est envoyé au téléphone. Sachant cela, les attaquants eux-mêmes lancent une demande pour que le messager envoie un SMS avec un code d'activation, interceptent ce SMS et utilisent le code reçu pour se connecter avec succès au messager.
Ainsi, les attaquants obtiennent un accès illégal à toutes les discussions en cours, à l'exception des discussions secrètes, ainsi qu'à l'historique des correspondances dans ces discussions, y compris les fichiers et photos qui leur ont été envoyés. Après avoir découvert cela, un utilisateur légitime de Telegram peut mettre fin de force à la session de l'attaquant. Grâce au mécanisme de protection mis en œuvre, l'inverse ne peut pas se produire : un attaquant ne peut pas mettre fin aux anciennes sessions d'un utilisateur réel dans les 24 heures. Il est donc important de détecter à temps une session extérieure et d’y mettre fin afin de ne pas perdre l’accès à votre compte. Les spécialistes du Groupe-IB ont envoyé une notification à l'équipe Telegram concernant leur enquête sur la situation.
L'étude des incidents se poursuit et, pour le moment, il n'est pas établi exactement quel système a été utilisé pour contourner le facteur SMS. À plusieurs reprises, les chercheurs ont donné des exemples d'interception de SMS utilisant des attaques sur les protocoles SS7 ou Diameter utilisés dans les réseaux mobiles. Théoriquement, de telles attaques peuvent être menées en utilisant illégalement des moyens techniques spéciaux ou des informations privilégiées provenant des opérateurs de téléphonie mobile. En particulier, sur les forums de hackers du Darknet, de nouvelles publicités proposent de pirater divers messagers, dont Telegram.
"Des experts de différents pays, dont la Russie, ont déclaré à plusieurs reprises que les réseaux sociaux, les services bancaires mobiles et les messageries instantanées pouvaient être piratés en utilisant une vulnérabilité du protocole SS7, mais il s'agissait de cas isolés d'attaques ciblées ou de recherches expérimentales", commente Sergey Lupanin, responsable du département d'enquête sur la cybercriminalité du Groupe-IB, « Dans une série de nouveaux incidents, dont il y en a déjà plus de 10, la volonté des attaquants de mettre en œuvre cette méthode pour gagner de l'argent est évidente. Afin d'éviter que cela ne se produise, il est nécessaire d'augmenter votre propre niveau d'hygiène numérique : au minimum, utilisez l'authentification à deux facteurs autant que possible et ajoutez un deuxième facteur obligatoire aux SMS, qui sont fonctionnellement inclus dans le même télégramme. »
Comment se protéger ?
1. Telegram a déjà mis en œuvre toutes les options de cybersécurité nécessaires qui réduiront à néant les efforts des attaquants.
2. Sur les appareils iOS et Android pour Telegram, vous devez accéder aux paramètres Telegram, sélectionner l'onglet « Confidentialité » et attribuer « Mot de passe cloud Vérification en deux étapes » ou « Vérification en deux étapes ». Une description détaillée de la façon d'activer cette option est donnée dans les instructions sur le site officiel du messager : (https://telegram.org/blog/sessions-and-2-step-verification)
3. Il est important de ne pas définir d'adresse e-mail pour récupérer ce mot de passe, car, en règle générale, la récupération du mot de passe par e-mail s'effectue également par SMS. De la même manière, vous pouvez augmenter la sécurité de votre compte WhatsApp.
Source: habr.com