2019 végén több orosz vállalkozó felvette a kapcsolatot a Group-IB kiberbűnözéssel foglalkozó részlegével, akik azzal a problémával szembesültek, hogy ismeretlenek illetéktelenül hozzáfértek a Telegram messengerben lévő levelezésükhöz. Az incidensek iOS és Android eszközökön történtek, függetlenül attól, hogy az áldozat melyik szövetségi mobilszolgáltató ügyfele volt.
A támadás azzal kezdődött, hogy a felhasználó üzenetet kapott a Telegram messengerben a Telegram szolgáltatási csatornától (ez a messenger hivatalos csatornája kék ellenőrző jelzéssel) egy megerősítő kóddal, amelyet a felhasználó nem kért. Ezt követően egy aktiváló kódot tartalmazó SMS-t küldtek az áldozat okostelefonjára - és szinte azonnal értesítés érkezett a Telegram szolgáltatási csatornán, hogy a fiókba új eszközről jelentkeztek be.
A Group IB tudomása szerint minden esetben a támadók valaki más fiókjába jelentkeztek be a mobilinterneten keresztül (valószínűleg eldobható SIM-kártyákkal), és a támadók IP-címe a legtöbb esetben Szamarában volt.
Belépés kérésre
A Group-IB Computer Forensics Laboratory tanulmánya, ahová az áldozatok elektronikus eszközeit szállították, kimutatta, hogy a berendezés nem fertőzött kémprogramokkal vagy banki trójai programmal, a fiókokat nem törték fel, és a SIM-kártyát sem cserélték ki. A támadók minden esetben a fiókba új eszközről történő bejelentkezéskor kapott SMS-kódok segítségével jutottak hozzá az áldozat messengeréhez.
Ez az eljárás a következő: a Messenger új eszközön történő aktiválásakor a Telegram a szolgáltatási csatornán keresztül kódot küld az összes felhasználói eszköznek, majd (kérésre) SMS üzenetet küld a telefonra. Ennek ismeretében a támadók maguk kezdeményeznek egy kérést, hogy a messenger küldjön egy aktiváló kódot tartalmazó SMS-t, elfogja ezt az SMS-t, és a kapott kód segítségével sikeresen bejelentkezzen a messengerbe.
Így a támadók illegális hozzáférést kapnak az összes jelenlegi csevegéshez, kivéve a titkosakat, valamint az ezekben a csevegésekben folytatott levelezés történetéhez, beleértve a nekik küldött fájlokat és fényképeket. Miután ezt felfedezte, egy legitim Telegram-felhasználó erőszakkal megszakíthatja a támadó munkamenetét. A beépített védelmi mechanizmusnak köszönhetően ennek ellenkezője nem történhet meg: a támadó nem tudja 24 órán belül megszüntetni egy valódi felhasználó régebbi munkameneteit. Ezért fontos, hogy időben észleljen egy külső munkamenetet, és fejezze be azt, hogy ne veszítse el fiókjához való hozzáférését. Az IB-csoport szakemberei értesítették a Telegram csapatát a helyzet kivizsgálásáról.
Az incidensek tanulmányozása folytatódik, és jelenleg nem derült ki, hogy pontosan milyen sémát alkalmaztak az SMS-tényező megkerülésére. A kutatók különböző időpontokban példákat hoztak SMS-lehallgatásra a mobilhálózatokban használt SS7 vagy Diameter protokollok elleni támadásokkal. Elméletileg az ilyen támadások végrehajthatók speciális technikai eszközök illegális használatával vagy a mobilszolgáltatók bennfentes információival. Különösen a Darknet hackerfórumain vannak friss hirdetések különféle hírnökök, köztük a Telegram feltörésére vonatkozó ajánlatokkal.
"Szakértők különböző országokban, köztük Oroszországban is többször kijelentették, hogy a közösségi hálózatok, a mobilbankok és az azonnali üzenetküldők feltörhetők az SS7 protokoll sebezhetőségével, de ezek a célzott támadások vagy kísérleti kutatások elszigetelt esetei voltak" - kommentálja Sergey Lupanin, vezető. a Group-IB kiberbűnözés-nyomozó részlegének munkatársa: „Egy sor új incidensben, amelyekből már több mint 10 van, nyilvánvaló a támadók vágya, hogy ezt a pénzkereseti módszert bemutassák. Ennek elkerülése érdekében a digitális higiénia saját szintjének növelésére van szükség: lehetőség szerint legalább kétfaktoros hitelesítést alkalmazzon, és az SMS-t egy kötelező második tényezővel egészítse ki, amely funkcionálisan ugyanabban a Telegramban található. ”
Hogyan védd meg magad?
1. A Telegram már bevezette az összes szükséges kiberbiztonsági lehetőséget, amely a támadók erőfeszítéseit semmivé fogja csökkenteni.
2. A Telegram iOS- és Android-eszközén lépjen a Telegram beállításaiba, válassza ki az „Adatvédelem” lapot, és rendelje hozzá a „Cloud passwordTwo step verification” vagy „Two step verification” (Kétlépcsős ellenőrzés) lehetőséget. Az opció engedélyezésének részletes leírása a messenger hivatalos webhelyén található utasításokban található: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Fontos, hogy ne állítson be e-mail címet a jelszó visszaállításához, mivel általában az e-mail jelszó visszaállítása SMS-ben is megtörténik. Ugyanígy növelheti WhatsApp-fiókja biztonságát.
Forrás: will.com