Krajem 2019. nekoliko ruskih poduzetnika kontaktiralo je odjel za istraživanje kibernetičkog kriminala Group-IB koji su se suočili s problemom neovlaštenog pristupa nepoznatih osoba njihovoj korespondenciji u messengeru Telegram. Incidenti su se dogodili na iOS i Android uređajima, neovisno o tome kojem je federalnom mobilnom operateru žrtva bila klijent.
Napad je započeo tako što je korisnik primio poruku u Telegram messengeru s kanala usluge Telegram (ovo je službeni kanal messengera s plavom provjerom provjere) s potvrdnim kodom koji korisnik nije tražio. Nakon toga, SMS s aktivacijskim kodom poslan je na pametni telefon žrtve - i gotovo odmah je primljena obavijest na kanalu usluge Telegram da je račun prijavljen s novog uređaja.
U svim slučajevima za koje Grupa-IB zna, napadači su se ulogirali na tuđi račun putem mobilnog interneta (vjerojatno korištenjem jednokratnih SIM kartica), a IP adresa napadača je u većini slučajeva bila u Samari.
Pristup na zahtjev
Studija Group-IB Computer Forensics Laboratory, gdje su prebačeni elektronički uređaji žrtava, pokazala je da oprema nije bila zaražena špijunskim softverom ili bankarskim trojancem, računi nisu bili hakirani, a SIM kartica nije bila zamijenjena. U svim slučajevima, napadači su dobili pristup žrtvenom messengeru pomoću SMS kodova primljenih prilikom prijave na račun s novog uređaja.
Ova procedura je sljedeća: kada aktivirate messenger na novom uređaju, Telegram šalje kod kroz servisni kanal svim korisničkim uređajima, a zatim (na zahtjev) šalje SMS poruku na telefon. Znajući to, napadači sami pokreću zahtjev da messenger pošalje SMS s aktivacijskim kodom, presreću taj SMS i dobiveni kod koriste za uspješnu prijavu na messenger.
Tako napadači dobivaju ilegalni pristup svim trenutnim chatovima, osim tajnih, kao i povijesti dopisivanja u tim chatovima, uključujući datoteke i fotografije koje su im poslane. Nakon što to otkrije, legitimni korisnik Telegrama može nasilno prekinuti sesiju napadača. Zahvaljujući implementiranom zaštitnom mehanizmu ne može se dogoditi suprotno, napadač ne može prekinuti starije sesije pravog korisnika unutar 24 sata. Stoga je važno na vrijeme otkriti vanjsku sesiju i prekinuti je kako ne biste izgubili pristup svom računu. Stručnjaci Group-IB-a poslali su obavijest timu Telegrama o njihovoj istrazi situacije.
Proučavanje incidenata se nastavlja i trenutno nije točno utvrđeno koja je shema korištena za zaobilaženje SMS faktora. Istraživači su u raznim vremenima davali primjere presretanja SMS-ova korištenjem napada na protokole SS7 ili Diameter koji se koriste u mobilnim mrežama. Teoretski, takvi se napadi mogu izvesti nezakonitim korištenjem posebnih tehničkih sredstava ili povlaštenih informacija mobilnih operatera. Konkretno, na hakerskim forumima na Darknetu postoje svježi oglasi s ponudama za hakiranje raznih glasnika, uključujući Telegram.
"Stručnjaci u različitim zemljama, uključujući Rusiju, više su puta izjavili da se društvene mreže, mobilno bankarstvo i instant messengeri mogu hakirati pomoću ranjivosti u protokolu SS7, ali to su bili izolirani slučajevi ciljanih napada ili eksperimentalnog istraživanja", komentira Sergej Lupanin, voditelj odjela za istraživanje kibernetičkog kriminala pri Group-IB, “U nizu novih incidenata, kojih je već više od 10, očita je želja napadača da ovaj način zarade stave u promet. Kako se to ne bi dogodilo, potrebno je povećati vlastitu razinu digitalne higijene: minimalno koristiti dvofaktornu autentifikaciju gdje god je to moguće, a SMS-u dodati obavezni drugi faktor koji je funkcionalno uključen u isti Telegram. ”
Kako se zaštititi?
1. Telegram je već implementirao sve potrebne cybersigurnosne opcije koje će svesti napore napadača na ništa.
2. Na iOS i Android uređajima za Telegram morate otići u postavke Telegrama, odabrati karticu “Privatnost” i dodijeliti “Cloud passwordTwo step verification” ili “Two step verification”. Detaljan opis kako omogućiti ovu opciju nalazi se u uputama na službenoj web stranici glasnika: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Važno je da ne postavite adresu e-pošte za oporavak ove lozinke, jer se, u pravilu, oporavak lozinke e-pošte također događa putem SMS-a. Na isti način možete povećati sigurnost svog WhatsApp računa.
Izvor: www.habr.com