Alla fine del 2019 diversi imprenditori russi si sono rivolti al dipartimento investigativo sulla criminalità informatica del Gruppo IB, dovendo affrontare il problema dell’accesso non autorizzato da parte di sconosciuti alla loro corrispondenza nel messenger di Telegram. Gli incidenti sono avvenuti su dispositivi iOS e Android, indipendentemente dall'operatore cellulare federale di cui la vittima era cliente.
L'attacco è iniziato con la ricezione da parte dell'utente di un messaggio nel messenger di Telegram dal canale del servizio Telegram (questo è il canale ufficiale del messenger con un segno di spunta blu) con un codice di conferma che l'utente non ha richiesto. Successivamente, allo smartphone della vittima è stato inviato un SMS con un codice di attivazione e quasi immediatamente è stata ricevuta una notifica nel canale del servizio Telegram che l'accesso all'account era stato effettuato da un nuovo dispositivo.
In tutti i casi di cui Group-IB è a conoscenza, gli aggressori hanno effettuato l'accesso all'account di qualcun altro tramite Internet mobile (probabilmente utilizzando carte SIM usa e getta) e nella maggior parte dei casi l'indirizzo IP degli aggressori era a Samara.
Accesso su richiesta
Uno studio del Group-IB Computer Forensics Laboratory, in cui sono stati trasferiti i dispositivi elettronici delle vittime, ha dimostrato che i dispositivi non erano infetti da spyware o trojan bancari, i conti non erano stati violati e la carta SIM non era stata sostituita. In tutti i casi gli aggressori sono riusciti ad accedere al messenger della vittima utilizzando i codici SMS ricevuti accedendo all'account da un nuovo dispositivo.
Questa procedura è la seguente: quando si attiva il messenger su un nuovo dispositivo, Telegram invia un codice attraverso il canale di servizio a tutti i dispositivi dell'utente, quindi (su richiesta) viene inviato un messaggio SMS al telefono. Sapendo ciò, gli aggressori stessi avviano una richiesta al messenger di inviare un SMS con un codice di attivazione, intercettano questo SMS e utilizzano il codice ricevuto per accedere con successo al messenger.
In questo modo gli aggressori ottengono l'accesso illegale a tutte le chat attuali, ad eccezione di quelle segrete, nonché alla cronologia della corrispondenza in queste chat, compresi i file e le foto che sono stati loro inviati. Dopo averlo scoperto, un utente legittimo di Telegram può terminare forzatamente la sessione dell'aggressore. Grazie al meccanismo di protezione implementato non può accadere il contrario: un utente malintenzionato non può terminare le sessioni precedenti di un utente reale entro 24 ore. Pertanto, è importante rilevare in tempo una sessione esterna e terminarla per non perdere l'accesso al proprio account. Gli specialisti del Gruppo IB hanno inviato una notifica al team di Telegram riguardo alle loro indagini sulla situazione.
Lo studio degli incidenti continua e al momento non è stabilito esattamente quale schema sia stato utilizzato per aggirare il fattore SMS. In tempi diversi i ricercatori hanno fornito esempi di intercettazione di SMS utilizzando attacchi ai protocolli SS7 o Diametro utilizzati nelle reti mobili. Teoricamente, tali attacchi possono essere effettuati con l'uso illegale di mezzi tecnici speciali o di informazioni privilegiate provenienti da operatori di telefonia mobile. In particolare nei forum degli hacker della Darknet si trovano nuovi annunci con offerte per hackerare diversi messenger, tra cui anche Telegram.
"Gli esperti di diversi paesi, inclusa la Russia, hanno ripetutamente affermato che i social network, il mobile banking e la messaggistica istantanea possono essere hackerati sfruttando una vulnerabilità nel protocollo SS7, ma si trattava di casi isolati di attacchi mirati o di ricerche sperimentali", commenta Sergey Lupanin, capo del dipartimento investigativo sulla criminalità informatica del Group-IB, “In una serie di nuovi incidenti, di cui ce ne sono già più di 10, il desiderio degli aggressori di mettere in funzione questo metodo di guadagno è evidente. Per evitare che ciò accada è necessario aumentare il proprio livello di igiene digitale: utilizzare come minimo l'autenticazione a due fattori ove possibile, e aggiungere un secondo fattore obbligatorio agli SMS, che è funzionalmente incluso nello stesso Telegram. "
Come proteggersi?
1. Telegram ha già implementato tutte le opzioni di sicurezza informatica necessarie che ridurranno a zero gli sforzi degli aggressori.
2. Sui dispositivi iOS e Android per Telegram, è necessario andare nelle impostazioni di Telegram, selezionare la scheda "Privacy" e assegnare "Password cloudVerifica in due passaggi" o "Verifica in due passaggi". Una descrizione dettagliata di come abilitare questa opzione è fornita nelle istruzioni sul sito ufficiale del messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. È importante non impostare un indirizzo email per il recupero di questa password, poiché di norma il recupero della password email avviene anche tramite SMS. Allo stesso modo, puoi aumentare la sicurezza del tuo account WhatsApp.
Fonte: habr.com