2019 թվականի վերջին մի քանի ռուս ձեռնարկատերեր կապվել են Group-IB կիբերհանցագործությունների հետաքննության վարչության հետ, ովքեր բախվել են Telegram մեսենջերում իրենց նամակագրությանը անհայտ անձանց կողմից չարտոնված մուտքի խնդրին: Միջադեպերը տեղի են ունեցել iOS և Android սարքերում, անկախ նրանից, թե զոհը որ բջջային օպերատորի հաճախորդն է եղել:
Հարձակումը սկսվել է նրանով, որ օգտատերը Telegram-ի մեսենջերում հաղորդագրություն է ստանում Telegram ծառայության ալիքից (սա մեսենջերի պաշտոնական ալիքն է՝ կապույտ հաստատման ստուգմամբ) հաստատման կոդով, որը օգտատերը չի պահանջել: Դրանից հետո ակտիվացման կոդով SMS է ուղարկվել զոհի սմարթֆոնին, և գրեթե անմիջապես Telegram ծառայության ալիքում ծանուցում է ստացվել, որ հաշիվը մուտք է գործել նոր սարքից:
Բոլոր դեպքերում, որոնց մասին տեղյակ է Group-IB-ը, հարձակվողները մուտք են գործել ուրիշի հաշիվ բջջային ինտերնետի միջոցով (հավանաբար օգտագործելով մեկանգամյա օգտագործման SIM քարտեր), իսկ հարձակվողների IP հասցեն շատ դեպքերում եղել է Սամարայում:
Մուտք գործեք ըստ պահանջի
Group-IB Computer Forensics Laboratory-ի ուսումնասիրությունը, որտեղ փոխանցվել են զոհերի էլեկտրոնային սարքերը, ցույց է տվել, որ սարքավորումները վարակված չեն լրտեսող ծրագրերով կամ բանկային Trojan-ով, հաշիվները չեն կոտրվել, և SIM քարտը չի փոխարինվել: Բոլոր դեպքերում հարձակվողները մուտք են գործել զոհի մեսենջեր՝ օգտագործելով նոր սարքից հաշիվ մուտք գործելիս ստացված SMS կոդերը:
Այս ընթացակարգը հետևյալն է՝ նոր սարքի վրա մեսենջերն ակտիվացնելիս Telegram-ը ծառայության ալիքով կոդ է ուղարկում օգտատերերի բոլոր սարքերին, այնուհետև (ըստ ցանկության) SMS հաղորդագրություն է ուղարկվում հեռախոսին։ Իմանալով դա՝ հարձակվողներն իրենք են դիմում մեսենջերին՝ ուղարկելու SMS ակտիվացման կոդով, ընդհատել այս SMS-ը և օգտագործել ստացված կոդը՝ հաջողությամբ մուտք գործել մեսենջեր:
Այսպիսով, հարձակվողները ստանում են անօրինական մուտք դեպի բոլոր ընթացիկ զրույցները, բացառությամբ գաղտնի, ինչպես նաև այդ չաթերի նամակագրության պատմությանը, ներառյալ նրանց ուղարկված ֆայլերը և լուսանկարները: Սա հայտնաբերելով՝ Telegram-ի օրինական օգտատերը կարող է հարկադրաբար դադարեցնել հարձակվողի նիստը: Իրականացված պաշտպանության մեխանիզմի շնորհիվ հակառակը չի կարող տեղի ունենալ՝ հարձակվողը չի կարող 24 ժամվա ընթացքում դադարեցնել իրական օգտատիրոջ ավելի հին նիստերը։ Հետևաբար, կարևոր է ժամանակին հայտնաբերել արտաքին նիստը և ավարտել այն, որպեսզի չկորցնեք մուտքը ձեր հաշիվ: Group-IB-ի մասնագետները ծանուցում են ուղարկել Telegram-ի թիմին իրավիճակի հետաքննության մասին։
Միջադեպերի ուսումնասիրությունը շարունակվում է, և այս պահին պարզ չէ, թե կոնկրետ ինչ սխեմայով է շրջանցվել SMS գործոնը։ Տարբեր ժամանակներում հետազոտողները տվել են SMS գաղտնալսման օրինակներ՝ օգտագործելով բջջային ցանցերում օգտագործվող SS7 կամ Diameter արձանագրությունների վրա հարձակումները: Տեսականորեն, նման հարձակումները կարող են իրականացվել հատուկ տեխնիկական միջոցների կամ բջջային օպերատորների ներքին տեղեկատվության անօրինական օգտագործմամբ: Մասնավորապես, Darknet-ի հաքերային ֆորումներում կան թարմ գովազդներ տարբեր մեսենջերներ, այդ թվում՝ Telegram-ը կոտրելու առաջարկներով։
«Տարբեր երկրների, այդ թվում՝ Ռուսաստանի փորձագետները բազմիցս հայտարարել են, որ սոցիալական ցանցերը, մոբայլ բանկը և ակնթարթային մեսենջերները կարող են կոտրվել՝ օգտագործելով SS7 արձանագրության խոցելիությունը, սակայն դրանք թիրախային հարձակումների կամ փորձարարական հետազոտությունների մեկուսացված դեպքեր էին», - մեկնաբանում է ղեկավար Սերգեյ Լուպանինը: Group-IB-ի կիբերհանցագործությունների հետաքննության բաժնի «Մի շարք նոր միջադեպերի մեջ, որոնցից 10-ից ավելին կա, հարձակվողների ցանկությունն ակնհայտ է փող աշխատելու այս մեթոդը հոսքի մեջ դնելու համար: Որպեսզի դա տեղի չունենա, անհրաժեշտ է բարձրացնել թվային հիգիենայի ձեր մակարդակը. նվազագույնը, հնարավորության դեպքում օգտագործեք երկգործոն նույնականացում և SMS-ին ավելացրեք պարտադիր երկրորդ գործոնը, որը ֆունկցիոնալորեն ներառված է նույն Telegram-ում: »
Ինչպե՞ս պաշտպանվել ինքներդ:
1. Telegram-ն արդեն ներդրել է կիբերանվտանգության բոլոր անհրաժեշտ տարբերակները, որոնք կնվազեցնեն հարձակվողների ջանքերը:
2. Telegram-ի iOS և Android սարքերում դուք պետք է գնաք Telegram-ի կարգավորումներ, ընտրեք «Գաղտնիություն» ներդիրը և նշանակեք «Cloud passwordTwo step verification» կամ «Two step verification»: Մանրամասն նկարագրությունը, թե ինչպես միացնել այս տարբերակը, տրված է մեսենջերի պաշտոնական կայքում տեղադրված հրահանգներում. (https://telegram.org/blog/sessions-and-2-step-verification)
3. Այս գաղտնաբառը վերականգնելու համար կարևոր է չսահմանել էլ.փոստի հասցե, քանի որ, որպես կանոն, էլփոստի գաղտնաբառի վերականգնումը տեղի է ունենում նաև SMS-ի միջոցով: Նույն կերպ, դուք կարող եք բարձրացնել ձեր WhatsApp հաշվի անվտանգությունը:
Source: www.habr.com