2019-жылдын аягында бир нече орусиялык ишкерлер Telegram билдирүүлөрүнө уруксатсыз кирүүгө туш болгондон кийин Group-IB компаниясынын киберкылмыштарды иликтөө бөлүмүнө кайрылышкан. Бул окуялар iOS жана Android түзмөктөрүндө болгон. Android, жабырлануучу кайсы федералдык мобилдик оператордун кардары болгонуна карабастан.
Чабуул колдонуучу Telegram мессенжеринде Telegram сервис каналынан (бул көк түстөгү текшерүү чеки бар мессенжердин расмий каналы) колдонуучу сурабаган ырастоо коду менен билдирүүнү алуу менен башталган. Андан кийин, жабырлануучунун смартфонуна активдештирүү коду менен SMS жөнөтүлдү - жана дээрлик ошол замат Telegram кызмат каналында аккаунтка жаңы түзмөктөн киргендиги тууралуу билдирүү келип түшкөн.
Group-IB билген бардык учурларда, чабуулчулар мобилдик Интернет аркылуу башка бирөөнүн аккаунтуна кирген (балким, бир жолу колдонулуучу SIM карталары менен), ал эми чабуулчулардын IP дареги көпчүлүк учурда Самарада болгон.
Сурам боюнча кирүү
Жабырлануучулардын электрондук шаймандары өткөрүлүп берилген Group-IB компьютердик криминалистикалык лабораториясы тарабынан жүргүзүлгөн изилдөөлөр көрсөткөндөй, жабдуулар шпиондук программалар же банктык трояндар менен жуккан эмес, эсептер бузулган эмес жана SIM карта алмаштырылган эмес. Бардык учурларда, чабуулчулар жаңы түзмөктөн аккаунтка киргенде алынган SMS коддору аркылуу жабырлануучунун мессенджерине кирүү мүмкүнчүлүгүнө ээ болушкан.
Бул процедура төмөнкүдөй: мессенжерди жаңы түзмөктө активдештирүү учурунда Telegram кызмат каналы аркылуу колдонуучунун бардык түзмөктөрүнө код жөнөтөт, андан кийин (талап боюнча) телефонго SMS билдирүү жөнөтүлөт. Муну билип туруп, чабуулчулар өздөрү мессенжерге активдештирүү коду бар SMS жөнөтүү өтүнүчүн козгоп, бул SMSти кармап, алынган кодду колдонуп, мессенджерге ийгиликтүү кирүү үчүн колдонушат.
Ошентип, чабуулчулар жашыруун баарлашуудан башка бардык учурдагы чаттарга, ошондой эле бул чаттардагы кат алышуу тарыхына, анын ичинде аларга жөнөтүлгөн файлдарга жана сүрөттөргө мыйзамсыз кирүү мүмкүнчүлүгүнө ээ болушат. Муну таап алган мыйзамдуу Telegram колдонуучусу чабуулчунун сессиясын күч менен токтото алат. Ишке ашырылган коргоо механизминин аркасында, чабуулчу 24 сааттын ичинде чыныгы колдонуучунун эски сеанстарын токтото албайт; Андыктан, аккаунтуңузга кирүү мүмкүнчүлүгүн жоготуп албаш үчүн сырттан келген сеансты өз убагында таап, аны токтотуу маанилүү. Group-IB адистери Telegram командасына кырдаалды иликтөө боюнча билдирүү жөнөтүштү.
Окуяларды изилдөө уланууда жана учурда SMS факторун айланып өтүү үчүн кандай схема колдонулганы так аныктала элек. Ар кайсы убакта изилдөөчүлөр мобилдик түйүндөрдө колдонулган SS7 же Диаметр протоколдоруна кол салууларды колдонуу менен SMS тыныгуу мисалдарын келтиришти. Теориялык жактан алганда, мындай чабуулдар атайын техникалык каражаттарды же уюлдук операторлордун ички маалыматын мыйзамсыз колдонуу менен жүргүзүлүшү мүмкүн. Атап айтканда, Darknetтеги хакердик форумдарда ар кандай мессенджерлерди, анын ичинде Telegramды бузуп алуу сунуштары бар жаңы жарнактар пайда болду.
"Ар кайсы өлкөлөрдүн, анын ичинде Россиянын эксперттери социалдык тармактарды, мобилдик банкингди жана мессенджерлерди SS7 протоколунун алсыздыгы аркылуу бузуп кирүүгө болорун бир нече жолу айтышкан, бирок бул максаттуу чабуулдардын же эксперименталдык изилдөөлөрдүн айрым учурлары", - дейт Сергей Лупанин, жетекчи. Group-IB киберкылмыштарды иликтөө бөлүмүнүн кызматкери, «10дон ашык жаңы окуялардын сериясында кол салгандардын акча табуунун бул ыкмасын колдонууга умтулуусу ачык көрүнүп турат. Буга жол бербөө үчүн санариптик гигиенанын өз деңгээлин жогорулатуу зарыл: эң аз дегенде, мүмкүн болушунча эки фактордук аутентификацияны колдонуңуз жана ошол эле Telegramга функционалдык түрдө киргизилген SMSке милдеттүү түрдө экинчи факторду кошуңуз. ”
Өзүңдү кантип коргоо керек?
1. Telegram киберкоопсуздуктун бардык керектүү варианттарын ишке ашырган, бул чабуулчулардын аракеттерин эч нерсеге алып келбейт.
2. iOS түзмөктөрүндө жана Android Telegram үчүн Telegram жөндөөлөрүнө өтүп, "Купуялык" өтмөгүн тандап, "Булут сырсөзү/Эки кадамдуу текшерүү" дегенди коюңуз. Бул опцияны кантип иштетүү боюнча кеңири нускамалар мессенджердин расмий веб-сайтында жеткиликтүү: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Бул сырсөздү калыбына келтирүү үчүн электрондук почтанын дарегин койбош керек, анткени, эреже катары, электрондук почтанын сырсөзүн калыбына келтирүү SMS аркылуу да ишке ашат. Ушундай эле жол менен сиз WhatsApp аккаунтуңуздун коопсуздугун жогорулата аласыз.
Source: www.habr.com
