Í lok árs 2019 höfðu nokkrir rússneskir frumkvöðlar samband við Group-IB netglæparannsóknardeildina sem stóðu frammi fyrir því vandamáli að óviðkomandi aðgangur óþekktra einstaklinga væri að bréfaskiptum þeirra í Telegram boðberanum. Atvikin áttu sér stað á iOS og Android tækjum, óháð því hvaða alríkisfarsímafyrirtæki fórnarlambið var viðskiptavinur.
Árásin hófst með því að notandinn fékk skilaboð í Telegram boðberanum frá Telegram þjónusturásinni (þetta er opinber rás boðberans með bláu staðfestingarávísun) með staðfestingarkóða sem notandinn bað ekki um. Eftir þetta var sent SMS með virkjunarkóða í snjallsíma fórnarlambsins - og nánast samstundis barst tilkynning á Telegram þjónusturásina um að reikningurinn hefði verið skráður inn úr nýju tæki.
Í öllum tilvikum sem Group-IB er kunnugt um skráðu árásarmennirnir sig inn á reikning einhvers annars í gegnum farsímanetið (líklega með einnota SIM-kortum) og IP-tala árásarmannanna var í flestum tilfellum í Samara.
Aðgangur sé þess óskað
Rannsókn Group-IB Computer Forensics Laboratory, þar sem rafeindatæki fórnarlambanna voru flutt, sýndi að búnaðurinn var ekki sýktur af njósnahugbúnaði eða bankatróju, ekki var brotist inn á reikningana og ekki var skipt um SIM-kort. Í öllum tilvikum fengu árásarmennirnir aðgang að boðbera fórnarlambsins með því að nota SMS-kóða sem þeir fengu þegar þeir skráðu sig inn á reikninginn úr nýju tæki.
Þessi aðferð er sem hér segir: Þegar boðberinn er virkjaður í nýju tæki sendir Telegram kóða í gegnum þjónusturásina til allra notendatækja og síðan (eftir beiðni) eru send SMS skilaboð í símann. Vitandi þetta hefja árásarmennirnir sjálfir beiðni um að boðberinn sendi SMS með virkjunarkóða, hleri þetta SMS og noti móttekinn kóða til að skrá sig inn á boðberann.
Þannig fá árásarmenn ólöglegan aðgang að öllu núverandi spjalli, nema leynilegum, sem og að sögu bréfaskipta í þessum spjalli, þar á meðal skrám og myndum sem þeim voru sendar. Eftir að hafa uppgötvað þetta getur lögmætur Telegram notandi hætt fundi árásarmannsins með valdi. Þökk sé innleiddu verndarkerfi getur hið gagnstæða ekki gerst; árásarmaður getur ekki hætt eldri fundum raunverulegs notanda innan 24 klukkustunda. Þess vegna er mikilvægt að greina utanaðkomandi lotu tímanlega og ljúka því til að missa ekki aðgang að reikningnum þínum. Sérfræðingar Group-IB sendu Telegram teyminu tilkynningu um rannsókn þeirra á ástandinu.
Rannsóknin á atvikunum heldur áfram og í augnablikinu er ekki staðfest nákvæmlega hvaða kerfi var notað til að komast framhjá SMS-stuðlinum. Á ýmsum tímum hafa vísindamenn gefið dæmi um SMS-hlerun með árásum á SS7 eða Diameter samskiptareglur sem notaðar eru í farsímakerfum. Fræðilega séð geta slíkar árásir verið framkvæmdar með ólöglegri notkun sérstakra tæknilegra aðferða eða innherjaupplýsinga frá farsímafyrirtækjum. Sérstaklega á tölvuþrjótaspjallborðum á Darknet eru nýjar auglýsingar með tilboðum um að hakka ýmsa boðbera, þar á meðal Telegram.
„Sérfræðingar í mismunandi löndum, þar á meðal Rússlandi, hafa ítrekað lýst því yfir að hægt sé að brjótast inn á samfélagsnet, farsímabanka og spjallforrit með því að nota varnarleysi í SS7 samskiptareglunum, en þetta voru einstök tilvik um markvissar árásir eða tilraunarannsóknir,“ segir Sergey Lupanin, yfirmaður. af rannsóknardeild netglæpa hjá Group-IB, „Í röð nýrra atvika, þar af eru nú þegar fleiri en 10, er löngun árásarmanna til að setja þessa aðferð til að vinna sér inn peninga í gang augljós. Til að koma í veg fyrir að þetta gerist er nauðsynlegt að auka þitt eigið stafræna hreinlæti: Notaðu að minnsta kosti tvíþætta auðkenningu þar sem það er mögulegt og bættu skyldubundnum öðrum þáttum við SMS, sem er virka innifalinn í sama símskeyti. ”
Hvernig á að vernda þig?
1. Telegram hefur þegar innleitt alla nauðsynlega netöryggisvalkosti sem munu draga úr viðleitni árásarmanna niður í ekki neitt.
2. Á iOS og Android tækjum fyrir Telegram þarftu að fara í Telegram stillingarnar, velja „Persónuvernd“ flipann og úthluta „Cloud passwordTveggja þrepa staðfesting“ eða „Tveggja skrefa staðfestingu“. Nákvæm lýsing á því hvernig á að virkja þennan valkost er að finna í leiðbeiningunum á opinberu vefsíðu boðberans: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Það er mikilvægt að setja ekki netfang til að endurheimta þetta lykilorð, þar sem að jafnaði er endurheimt lykilorðs tölvupósts einnig með SMS. Á sama hátt geturðu aukið öryggi WhatsApp reikningsins þíns.
Heimild: www.habr.com