A finais de 2019, varios empresarios rusos contactaron co departamento de investigación de ciberdelincuencia do Grupo-IB que se enfrontaron ao problema do acceso non autorizado de persoas descoñecidas á súa correspondencia no mensaxeiro de Telegram. Os incidentes ocorreron en dispositivos iOS e Android, independentemente do operador móbil federal do que fose cliente a vítima.
O ataque comezou cando o usuario recibiu unha mensaxe no messenger de Telegram da canle de servizo de Telegram (esta é a canle oficial do messenger cunha verificación azul) cun código de confirmación que o usuario non solicitou. Despois diso, enviouse unha SMS cun código de activación ao teléfono intelixente da vítima, e case inmediatamente recibiuse unha notificación na canle de servizo de Telegram de que a conta estaba iniciada desde un dispositivo novo.
En todos os casos dos que o Grupo-IB coñece, os atacantes iniciaron sesión na conta doutra persoa a través da Internet móbil (probablemente usando tarxetas SIM desbotables) e o enderezo IP dos atacantes na maioría dos casos estaba en Samara.
Acceso previa solicitude
Un estudo do Laboratorio de Informática Forense do Grupo-IB, onde se transferiron os dispositivos electrónicos das vítimas, mostrou que o equipo non estaba infectado con spyware ou troiano bancario, as contas non foron pirateadas e a tarxeta SIM non foi substituída. En todos os casos, os atacantes accederon ao mensaxeiro da vítima mediante os códigos SMS recibidos ao iniciar sesión na conta desde un dispositivo novo.
Este procedemento é o seguinte: ao activar o mensaxeiro nun dispositivo novo, Telegram envía un código a través da canle de servizo a todos os dispositivos do usuario e, a continuación, (previa solicitude) envíase unha mensaxe SMS ao teléfono. Sabendo isto, os propios atacantes inician unha solicitude para que o mensaxeiro envíe un SMS cun código de activación, intercepte este SMS e utilice o código recibido para iniciar sesión correctamente no mensaxeiro.
Así, os atacantes obteñen acceso ilegal a todos os chats actuais, excepto os secretos, así como ao historial de correspondencia nestes chats, incluídos os ficheiros e fotos que se lles enviaron. Unha vez descuberto isto, un usuario lexítimo de Telegram pode finalizar forzadamente a sesión do atacante. Grazas ao mecanismo de protección implementado, non pode ocorrer o contrario; un atacante non pode finalizar sesións máis antigas dun usuario real en 24 horas. Polo tanto, é importante detectar a tempo unha sesión externa e finalizala para non perder o acceso á túa conta. Os especialistas do Grupo IB enviaron unha notificación ao equipo de Telegram sobre a súa investigación da situación.
Continúa o estudo das incidencias, e polo momento non se establece con exactitude que esquema se utilizou para eludir o factor SMS. En varias ocasións, os investigadores deron exemplos de interceptación de SMS mediante ataques aos protocolos SS7 ou Diameter utilizados nas redes móbiles. Teoricamente, estes ataques poden levarse a cabo co uso ilegal de medios técnicos especiais ou información privilexiada dos operadores móbiles. En particular, nos foros de hackers da Darknet hai anuncios novos con ofertas para piratear varios mensaxeiros, incluído Telegram.
"Expertos de diferentes países, incluíndo Rusia, afirmaron repetidamente que as redes sociais, a banca móbil e as mensaxería instantánea poden ser pirateadas mediante unha vulnerabilidade do protocolo SS7, pero estes foron casos illados de ataques dirixidos ou investigación experimental", comenta Sergey Lupanin, xefe. do departamento de investigación de ciberdelincuencia do Grupo-IB, “Nunha serie de novos incidentes, dos que xa son máis de 10, o desexo dos atacantes de poñer este método de gañar cartos en directo é obvio. Para evitar que isto suceda, é necesario aumentar o seu propio nivel de hixiene dixital: como mínimo, utiliza a autenticación de dous factores sempre que sexa posible e engade un segundo factor obrigatorio ás SMS, que se inclúe funcionalmente no mesmo Telegram. ”
Como protexerse?
1. Telegram xa implementou todas as opcións de ciberseguridade necesarias que reducirán a nada os esforzos dos atacantes.
2. En dispositivos iOS e Android para Telegram, cómpre ir á configuración de Telegram, seleccionar a pestana "Privacidade" e asignar "Contrasinal de nube Verificación en dous pasos" ou "Verificación en dous pasos". Unha descrición detallada de como activar esta opción dáse nas instrucións do sitio web oficial do messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. É importante non establecer un enderezo de correo electrónico para recuperar este contrasinal, xa que, por regra xeral, a recuperación do contrasinal do correo electrónico tamén se produce por SMS. Do mesmo xeito, pode aumentar a seguridade da súa conta de WhatsApp.
Fonte: www.habr.com