Pada akhir tahun 2019, beberapa pengusaha Rusia menghubungi departemen investigasi kejahatan dunia maya Group-IB yang dihadapkan pada masalah akses tidak sah oleh orang tak dikenal ke korespondensi mereka di messenger Telegram. Insiden tersebut terjadi pada perangkat iOS dan Android, terlepas dari operator seluler federal mana yang menjadi klien korban.
Serangan dimulai dengan pengguna menerima pesan di messenger Telegram dari saluran layanan Telegram (ini adalah saluran resmi messenger dengan tanda centang verifikasi berwarna biru) dengan kode konfirmasi yang tidak diminta pengguna. Setelah itu, SMS berisi kode aktivasi dikirimkan ke smartphone korban - dan segera pemberitahuan diterima di saluran layanan Telegram bahwa akun tersebut telah login dari perangkat baru.
Dalam semua kasus yang diketahui oleh Group-IB, penyerang masuk ke akun orang lain melalui Internet seluler (mungkin menggunakan kartu SIM sekali pakai), dan alamat IP penyerang dalam banyak kasus berada di Samara.
Akses berdasarkan permintaan
Sebuah studi yang dilakukan oleh Laboratorium Forensik Komputer Group-IB, di mana perangkat elektronik korban dipindahkan, menunjukkan bahwa peralatan tersebut tidak terinfeksi spyware atau Trojan perbankan, akun tidak diretas, dan kartu SIM tidak diganti. Dalam semua kasus, penyerang memperoleh akses ke messenger korban menggunakan kode SMS yang diterima saat masuk ke akun dari perangkat baru.
Prosedurnya adalah sebagai berikut: saat mengaktifkan messenger di perangkat baru, Telegram mengirimkan kode melalui saluran layanan ke semua perangkat pengguna, dan kemudian (atas permintaan) pesan SMS dikirim ke telepon. Mengetahui hal ini, penyerang sendiri yang mengajukan permintaan kepada messenger untuk mengirim SMS dengan kode aktivasi, mencegat SMS ini dan menggunakan kode yang diterima agar berhasil masuk ke messenger.
Dengan demikian, penyerang mendapatkan akses ilegal ke semua obrolan saat ini, kecuali obrolan rahasia, serta riwayat korespondensi dalam obrolan tersebut, termasuk file dan foto yang dikirimkan kepada mereka. Setelah mengetahui hal ini, pengguna Telegram yang sah dapat menghentikan sesi penyerang dengan paksa. Berkat mekanisme perlindungan yang diterapkan, hal sebaliknya tidak dapat terjadi; penyerang tidak dapat menghentikan sesi lama dari pengguna sebenarnya dalam waktu 24 jam. Oleh karena itu, penting untuk mendeteksi sesi luar tepat waktu dan mengakhirinya agar tidak kehilangan akses ke akun Anda. Pakar Grup-IB mengirimkan pemberitahuan ke tim Telegram tentang penyelidikan mereka terhadap situasi tersebut.
Studi tentang insiden tersebut terus berlanjut, dan saat ini belum diketahui secara pasti skema apa yang digunakan untuk melewati faktor SMS. Di berbagai waktu, peneliti telah memberikan contoh intersepsi SMS menggunakan serangan terhadap protokol SS7 atau Diameter yang digunakan dalam jaringan seluler. Secara teoritis, serangan tersebut dapat dilakukan dengan penggunaan ilegal sarana teknis khusus atau informasi orang dalam dari operator seluler. Secara khusus, di forum peretas di Darknet terdapat iklan baru dengan tawaran untuk meretas berbagai messenger, termasuk Telegram.
βPara ahli di berbagai negara, termasuk Rusia, telah berulang kali menyatakan bahwa jejaring sosial, mobile banking, dan pesan instan dapat diretas menggunakan kerentanan dalam protokol SS7, namun ini adalah kasus terisolasi dari serangan yang ditargetkan atau penelitian eksperimental,β komentar Sergey Lupanin, kepala dari departemen investigasi kejahatan dunia maya di Group-IB, βDalam serangkaian insiden baru, yang sudah ada lebih dari 10, keinginan penyerang untuk menerapkan metode menghasilkan uang ini terlihat jelas. Untuk mencegah hal ini terjadi, Anda perlu meningkatkan tingkat kebersihan digital Anda: minimal, gunakan otentikasi dua faktor jika memungkinkan, dan tambahkan faktor kedua wajib ke SMS, yang secara fungsional disertakan dalam Telegram yang sama. β
Bagaimana cara melindungi diri sendiri?
1. Telegram telah menerapkan semua opsi keamanan siber yang diperlukan yang akan membuat upaya penyerang menjadi sia-sia.
2. Pada perangkat iOS dan Android untuk Telegram, Anda perlu masuk ke pengaturan Telegram, pilih tab βPrivasiβ dan tetapkan βKata sandi cloudVerifikasi dua langkahβ atau βVerifikasi dua langkahβ. Penjelasan rinci tentang cara mengaktifkan opsi ini diberikan dalam instruksi di situs resmi messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Penting untuk tidak menyetel alamat email untuk memulihkan kata sandi ini, karena biasanya pemulihan kata sandi email juga terjadi melalui SMS. Dengan cara yang sama, Anda dapat meningkatkan keamanan akun WhatsApp Anda.
Sumber: www.habr.com