Nan fen ane 2019, plizyè antreprenè Ris te kontakte depatman ankèt sibèrkrim Group-IB ki te fè fas ak pwoblèm aksè san otorizasyon moun enkoni nan korespondans yo nan mesaje Telegram la. Ensidan yo te fèt sou aparèy iOS ak Android, kèlkeswa ki operatè selilè federal viktim nan te kliyan an.
Atak la te kòmanse ak itilizatè a resevwa yon mesaj nan mesaje Telegram nan men chanèl sèvis Telegram (sa a se kanal ofisyèl mesaje a ak yon chèk verifikasyon ble) ak yon kòd konfimasyon ke itilizatè a pa t mande. Apre sa, yo te voye yon SMS ak yon kòd deklanchman sou smartphone viktim nan - epi prèske imedyatman yo te resevwa yon notifikasyon nan chanèl sèvis Telegram ke kont lan te konekte nan yon nouvo aparèy.
Nan tout ka ke Group-IB okouran de, atakè yo konekte nan kont yon lòt moun atravè Entènèt mobil lan (pwobableman lè l sèvi avèk kat SIM jetab), ak adrès IP atakè yo nan pifò ka yo te nan Samara.
Aksè sou demann
Yon etid pa laboratwa Gwoup-IB Odinatè Forensics, kote aparèy elektwonik viktim yo te transfere, te montre ke ekipman an pa te enfekte ak espyon oswa Trojan bankè, kont yo pa te rache, ak kat SIM la pa te ranplase. Nan tout ka, atakè yo te jwenn aksè nan mesaje viktim nan lè l sèvi avèk kòd SMS yo te resevwa lè yo te konekte nan kont lan nan yon nouvo aparèy.
Pwosedi sa a se jan sa a: lè aktive mesaje a sou yon nouvo aparèy, Telegram voye yon kòd atravè chanèl sèvis la nan tout aparèy itilizatè yo, ak Lè sa a (sou demann) yo voye yon mesaj SMS nan telefòn nan. Lè yo konnen sa a, atakè yo tèt yo inisye yon demann pou mesaje a voye yon SMS ak yon kòd deklanchman, entèsepte SMS sa a epi sèvi ak kòd la resevwa yo avèk siksè konekte nan mesaje a.
Kidonk, atakè yo jwenn aksè ilegal nan tout chat aktyèl yo, eksepte sa yo sekrè, osi byen ke nan istwa korespondans nan chat sa yo, ki gen ladan dosye ak foto yo te voye ba yo. Lè w fin dekouvri sa, yon itilizatè Telegram lejitim ka mete fen nan sesyon atakè a ak fòs. Mèsi a mekanis pwoteksyon aplike a, opoze a pa ka rive; yon atakè pa ka mete fen nan pi gran sesyon yon itilizatè reyèl nan lespas 24 èdtan. Se poutèt sa, li enpòtan pou detekte yon sesyon deyò nan tan epi fini li pou pa pèdi aksè nan kont ou. Espesyalis Gwoup-IB voye yon notifikasyon bay ekip Telegram la konsènan ankèt yo sou sitiyasyon an.
Etid la nan ensidan yo ap kontinye, ak nan moman sa a li pa etabli egzakteman ki konplo yo te itilize kontoune faktè a SMS. Nan plizyè fwa, chèchè yo te bay egzanp entèsepsyon SMS lè l sèvi avèk atak sou pwotokòl SS7 oswa Dyamèt yo itilize nan rezo mobil yo. Teyorikman, atak sa yo ka fèt ak itilizasyon ilegal mwayen teknik espesyal oswa enfòmasyon andedan ki soti nan operatè selilè. An patikilye, sou fowòm pirate sou Darknet la gen piblisite fre ak òf yo pirate mesaje divès kalite, ki gen ladan Telegram.
"Ekspè nan diferan peyi, ki gen ladan Larisi, te repete deklare ke rezo sosyal, bank mobil ak mesaje enstantane yo ka pirate lè l sèvi avèk yon vilnerabilite nan pwotokòl la SS7, men sa yo te ka izole nan atak vize oswa rechèch eksperimantal," kòmantè Sergey Lupanin , tèt. nan depatman ankèt sibèrkrim nan Group-IB, "Nan yon seri de nouvo ensidan, ki gen deja plis pase 10, dezi a nan atakè yo mete metòd sa a pou touche lajan sou kouran se evidan. Pou anpeche sa rive, li nesesè pou ogmante pwòp nivo ijyèn dijital ou: nan yon minimòm, sèvi ak otantifikasyon de faktè tout kote sa posib, epi ajoute yon dezyèm faktè obligatwa nan SMS, ki fonksyonèl enkli nan menm Telegram la. ”
Ki jan yo pwoteje tèt ou?
1. Telegram te deja aplike tout opsyon cybersecurity ki nesesè yo ki pral redwi efò atakè yo nan anyen.
2. Sou aparèy iOS ak Android pou Telegram, ou bezwen ale nan paramèt Telegram yo, chwazi tab "Konfidansyalite" epi bay "Modpas Cloud Verifikasyon de etap" oswa "Verifikasyon de etap". Yon deskripsyon detaye sou fason pou pèmèt opsyon sa a bay nan enstriksyon yo sou sit entènèt ofisyèl mesaje a: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Li enpòtan pou pa mete yon adrès imel pou refè modpas sa a, paske, kòm yon règ, rekiperasyon modpas imel rive tou via SMS. Menm jan an tou, ou ka ogmante sekirite kont WhatsApp ou a.
Sous: www.habr.com