2019 жылдың соңында бірнеше ресейлік кәсіпкерлер Group-IB киберқылмыстарды тергеу бөліміне хабарласты, олар Telegram мессенджерінде белгісіз адамдардың хат-хабарларына рұқсатсыз кіру мәселесіне тап болды. Оқиғалар жәбірленуші қай федералды ұялы байланыс операторының клиенті болғанына қарамастан, iOS және Android құрылғыларында орын алды.
Шабуыл Telegram мессенджерінде пайдаланушы сұрамаған растау коды бар Telegram қызмет арнасынан (бұл мессенджердің көк түсті растау чекі бар ресми арнасы) хабарлама алуынан басталды. Осыдан кейін жәбірленушінің смартфонына белсендіру коды бар SMS жіберілді - дереу Telegram қызмет арнасында есептік жазбаға жаңа құрылғыдан кіргені туралы хабарлама келді.
Group-IB білетін барлық жағдайларда, шабуылдаушылар мобильді Интернет арқылы басқа біреудің есептік жазбасына кірді (мүмкін бір реттік SIM карталарын пайдалану арқылы) және шабуылдаушылардың IP мекенжайы көп жағдайда Самарада болды.
Сұраныс бойынша қол жеткізу
Зардап шеккендердің электронды құрылғылары тасымалданған Group-IB компьютерлік криминалистикалық зертханасының зерттеуі жабдыққа шпиондық бағдарлама немесе банктік троян жұқтырмағанын, шоттардың бұзылмағанын және SIM картасының ауыстырылмағанын көрсетті. Барлық жағдайларда шабуылдаушылар жаңа құрылғыдан тіркелгіге кіру кезінде алынған SMS кодтары арқылы жәбірленушінің мессенджеріне қол жеткізді.
Бұл процедура келесідей: жаңа құрылғыда мессенджерді іске қосу кезінде Telegram қызмет көрсету арнасы арқылы пайдаланушының барлық құрылғыларына код жібереді, содан кейін (сұраныс бойынша) телефонға SMS хабарлама жіберіледі. Мұны біле тұра, шабуылдаушылар өздері мессенджерге белсендіру коды бар SMS жіберуді сұрайды, осы SMS-ті ұстап алады және мессенджерге сәтті кіру үшін алынған кодты пайдаланады.
Осылайша, шабуылдаушылар құпиядан басқа барлық ағымдағы чаттарға, сондай-ақ осы чаттардағы хат алмасу тарихына, соның ішінде оларға жіберілген файлдар мен фотосуреттерге заңсыз қол жеткізе алады. Мұны анықтаған заңды Telegram пайдаланушысы шабуылдаушы сеансын күшпен тоқтата алады. Орнатылған қорғау механизмінің арқасында керісінше болуы мүмкін емес, шабуылдаушы 24 сағат ішінде нақты пайдаланушының ескі сеанстарын тоқтата алмайды. Сондықтан, тіркелгіңізге кіру мүмкіндігін жоғалтпау үшін сыртқы сеансты уақытында анықтап, оны аяқтау маңызды. Group-IB мамандары Telegram тобына жағдайды зерттегені туралы хабарлама жіберді.
Оқиғаларды зерттеу жалғасуда және қазіргі уақытта SMS факторын айналып өту үшін нақты қандай схема қолданылғаны анықталмаған. Әртүрлі уақытта зерттеушілер ұялы желілерде қолданылатын SS7 немесе Диаметр хаттамаларына шабуылдар арқылы SMS ұстап алу мысалдарын келтірді. Теориялық тұрғыдан мұндай шабуылдар арнайы техникалық құралдарды немесе ұялы байланыс операторларының ішкі ақпаратын заңсыз пайдалану арқылы жүзеге асырылуы мүмкін. Атап айтқанда, Darknet-тегі хакерлер форумдарында әртүрлі мессенджерлерді, соның ішінде Telegram-ды бұзу туралы ұсыныстар бар жаңа жарнамалар бар.
«Әртүрлі елдердегі, соның ішінде Ресейдегі сарапшылар SS7 хаттамасындағы осалдық арқылы әлеуметтік желілерді, мобильді банкингті және мессенджерлерді бұзуға болатынын бірнеше рет мәлімдеді, бірақ бұл мақсатты шабуылдардың немесе эксперименттік зерттеулердің оқшауланған жағдайлары», - деп түсіндіреді Сергей Лупанин, жетекші. Group-IB киберқылмыстарды тергеу бөлімінің «10-нан астам жаңа оқиғалар тізбегінде шабуылдаушылар ақша табудың осы әдісін ағынға енгізуге ұмтылатыны анық. Бұған жол бермеу үшін өзіңіздің цифрлық гигиена деңгейін жоғарылату қажет: кем дегенде, мүмкіндігінше екі факторлы аутентификацияны қолданыңыз және сол Telegram-ға функционалды түрде енгізілген SMS-ке міндетті екінші факторды қосыңыз. »
Өзіңізді қалай қорғауға болады?
1. Telegram киберқауіпсіздіктің барлық қажетті нұсқаларын қазірдің өзінде енгізді, бұл шабуылдаушылардың күш-жігерін босқа азайтады.
2. Telegram-ға арналған iOS және Android құрылғыларында Telegram параметрлеріне өтіп, «Құпиялылық» қойындысын таңдап, «Бұлттық құпия сөзді екі қадамды тексеру» немесе «Екі сатылы тексеру» тағайындау керек. Бұл опцияны қосу жолының толық сипаттамасы мессенджердің ресми сайтындағы нұсқауларда берілген: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Бұл құпия сөзді қалпына келтіру үшін электрондық пошта мекенжайын орнатпау маңызды, өйткені, әдетте, электрондық пошта құпия сөзін қалпына келтіру SMS арқылы да жүреді. Дәл осылай сіз WhatsApp есептік жазбаңыздың қауіпсіздігін арттыра аласыз.
Ақпарат көзі: www.habr.com