На крајот на 2019 година, неколку руски претприемачи контактираа со одделот за истраги за сајбер криминал на Груп-IB, кои се соочија со проблемот на неовластен пристап од непознати лица до нивната кореспонденција во месинџерот Телеграм. Инцидентите се случиле на iOS и Android уредите, без разлика на кој федерален мобилен оператор жртвата била клиент.
Нападот започна со тоа што корисникот доби порака во гласникот Телеграм од каналот на услугата Telegram (ова е официјалниот канал на гласникот со сина проверка за верификација) со код за потврда што корисникот не го побарал. После ова, СМС со код за активирање беше испратена до паметниот телефон на жртвата - и скоро веднаш беше примено известување во каналот за услугата Telegram дека сметката е најавена од нов уред.
Во сите случаи за кои е запознаена Group-IB, напаѓачите се најавувале на туѓа сметка преку мобилен интернет (најверојатно користејќи SIM картички за еднократна употреба), а IP адресата на напаѓачите во повеќето случаи била во Самара.
Пристап по барање
Студијата на Лабораторијата за компјутерска форензика Group-IB, каде што биле префрлени електронските уреди на жртвите, покажа дека опремата не била заразена со шпионски софтвер или банкарски тројанец, сметките не биле хакирани и SIM картичката не била заменета. Во сите случаи, напаѓачите добиле пристап до гласникот на жртвата користејќи СМС кодови добиени при најавување на сметката од нов уред.
Оваа постапка е како што следува: при активирање на гласникот на нов уред, Telegram испраќа код преку сервисниот канал до сите кориснички уреди, а потоа (по барање) се испраќа СМС порака на телефонот. Знаејќи го ова, самите напаѓачи иницираат барање гласникот да испрати СМС со код за активирање, да ја пресретне оваа СМС-порака и да ја искористи добиената шифра за успешно да се најави на месинџерот.
Така, напаѓачите добиваат нелегален пристап до сите тековни разговори, освен до тајните, како и до историјата на кореспонденцијата во овие разговори, вклучувајќи ги датотеките и фотографиите што им биле испратени. Откако го откри ова, легитимен корисник на Telegram може насилно да ја прекине сесијата на напаѓачот. Благодарение на имплементираниот механизам за заштита, не може да се случи спротивното; напаѓачот не може да ги прекине постарите сесии на вистински корисник во рок од 24 часа. Затоа, важно е навреме да откриете надворешна сесија и да ја завршите за да не го изгубите пристапот до вашата сметка. Специјалистите на Group-IB испратија известување до тимот на Telegram за нивната истрага за ситуацијата.
Проучувањето на инцидентите продолжува, а во моментов не е точно утврдено каква шема е користена за заобиколување на СМС факторот. Во различни времиња, истражувачите дадоа примери за пресретнување на СМС со помош на напади на протоколите SS7 или Diameter што се користат во мобилните мрежи. Теоретски, таквите напади може да се извршат со незаконска употреба на специјални технички средства или внатрешни информации од мобилните оператори. Конкретно, на хакерските форуми на Darknet има свежи реклами со понуди за хакирање на разни гласници, вклучително и Телеграма.
„Експерти во различни земји, вклучително и Русија, постојано изјавија дека социјалните мрежи, мобилното банкарство и инстант-месинџерите можат да бидат хакирани со помош на ранливост во протоколот SS7, но тоа беа изолирани случаи на насочени напади или експериментални истражувања“, коментира Сергеј Лупанин, шеф. на одделот за истраги за компјутерски криминал во Груп-ИБ, „Во низа нови инциденти, од кои веќе има повеќе од 10, очигледна е желбата на напаѓачите да го стават овој метод на заработка пари во стрим. Со цел да се спречи тоа да се случи, неопходно е да го зголемите вашето сопствено ниво на дигитална хигиена: најмалку, користете двофакторна автентикација секогаш кога е можно, и додадете задолжителен втор фактор на СМС, кој функционално е вклучен во истата Телеграма. ”
Како да се заштитите?
1. Телеграм веќе ги имплементира сите потребни опции за сајбер безбедност што ќе ги сведе на ништо напорите на напаѓачите.
2. На уредите со iOS и Android за Telegram, треба да отидете во поставките на Telegram, да го изберете табулаторот „Приватност“ и да доделите „Проверка во облак со два чекора“ или „Потврда во два чекора“. Детален опис за тоа како да се овозможи оваа опција е даден во упатствата на официјалната веб-страница на гласникот: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Важно е да не поставувате адреса за е-пошта за враќање на оваа лозинка, бидејќи, по правило, враќањето на лозинката за е-пошта се случува и преку СМС. На ист начин, можете да ја зголемите безбедноста на вашата сметка на WhatsApp.
Извор: www.habr.com