Pada penghujung tahun 2019, beberapa usahawan Rusia menghubungi jabatan penyiasatan jenayah siber Kumpulan-IB yang berhadapan dengan masalah akses tanpa kebenaran oleh orang yang tidak dikenali kepada surat-menyurat mereka dalam utusan Telegram. Insiden itu berlaku pada peranti iOS dan Android, tidak kira operator selular persekutuan yang mana mangsa adalah pelanggan.
Serangan bermula dengan pengguna menerima mesej dalam utusan Telegram daripada saluran perkhidmatan Telegram (ini adalah saluran rasmi utusan dengan semakan pengesahan biru) dengan kod pengesahan yang tidak diminta oleh pengguna. Selepas ini, SMS dengan kod pengaktifan dihantar ke telefon pintar mangsa - dan hampir serta-merta pemberitahuan diterima dalam saluran perkhidmatan Telegram bahawa akaun itu telah dilog masuk dari peranti baharu.
Dalam semua kes yang Group-IB ketahui, penyerang melog masuk ke akaun orang lain melalui Internet mudah alih (mungkin menggunakan kad SIM pakai buang), dan alamat IP penyerang dalam kebanyakan kes adalah di Samara.
Akses atas permintaan
Kajian oleh Makmal Forensik Komputer Kumpulan-IB, di mana peranti elektronik mangsa dipindahkan, menunjukkan bahawa peralatan itu tidak dijangkiti perisian pengintip atau Trojan perbankan, akaun tidak digodam, dan kad SIM tidak diganti. Dalam semua kes, penyerang mendapat akses kepada utusan mangsa menggunakan kod SMS yang diterima apabila log masuk ke akaun daripada peranti baharu.
Prosedur ini adalah seperti berikut: apabila mengaktifkan messenger pada peranti baharu, Telegram menghantar kod melalui saluran perkhidmatan ke semua peranti pengguna, dan kemudian (atas permintaan) mesej SMS dihantar ke telefon. Mengetahui perkara ini, penyerang sendiri memulakan permintaan untuk utusan menghantar SMS dengan kod pengaktifan, memintas SMS ini dan menggunakan kod yang diterima untuk berjaya log masuk ke utusan.
Oleh itu, penyerang mendapat akses haram ke semua sembang semasa, kecuali yang rahsia, serta sejarah surat-menyurat dalam sembang ini, termasuk fail dan foto yang dihantar kepada mereka. Setelah mengetahui perkara ini, pengguna Telegram yang sah boleh menamatkan sesi penyerang secara paksa. Terima kasih kepada mekanisme perlindungan yang dilaksanakan, perkara sebaliknya tidak boleh berlaku; penyerang tidak boleh menamatkan sesi lama pengguna sebenar dalam masa 24 jam. Oleh itu, adalah penting untuk mengesan sesi luar dalam masa dan menamatkannya supaya tidak kehilangan akses kepada akaun anda. Pakar Kumpulan-IB menghantar pemberitahuan kepada pasukan Telegram tentang penyiasatan mereka tentang situasi tersebut.
Kajian mengenai insiden itu diteruskan, dan pada masa ini tidak dapat dipastikan dengan tepat skim apa yang digunakan untuk memintas faktor SMS. Pada pelbagai masa, penyelidik telah memberikan contoh pemintasan SMS menggunakan serangan pada protokol SS7 atau Diameter yang digunakan dalam rangkaian mudah alih. Secara teorinya, serangan sedemikian boleh dilakukan dengan penggunaan cara teknikal khas secara haram atau maklumat dalaman daripada operator selular. Khususnya, di forum penggodam di Darknet terdapat iklan baru dengan tawaran untuk menggodam pelbagai messenger, termasuk Telegram.
"Pakar di negara yang berbeza, termasuk Rusia, telah berulang kali menyatakan bahawa rangkaian sosial, perbankan mudah alih dan utusan segera boleh digodam menggunakan kelemahan dalam protokol SS7, tetapi ini adalah kes terpencil serangan disasarkan atau penyelidikan eksperimen," komen Sergey Lupanin , ketua daripada jabatan penyiasatan jenayah siber di Kumpulan-IB, βDalam satu siri insiden baharu, yang mana sudah ada lebih daripada 10, keinginan penyerang untuk menggunakan kaedah mendapatkan wang ini jelas kelihatan. Untuk mengelakkan perkara ini daripada berlaku, adalah perlu untuk meningkatkan tahap kebersihan digital anda sendiri: sekurang-kurangnya, gunakan pengesahan dua faktor di mana mungkin, dan tambahkan faktor kedua wajib pada SMS, yang secara fungsional disertakan dalam Telegram yang sama. β
Bagaimana untuk melindungi diri anda?
1. Telegram telah pun melaksanakan semua pilihan keselamatan siber yang diperlukan yang akan mengurangkan usaha penyerang kepada sia-sia.
2. Pada peranti iOS dan Android untuk Telegram, anda perlu pergi ke tetapan Telegram, pilih tab "Privasi" dan tetapkan "Kata laluan awanTwo step verification" atau "Two step verification". Penerangan terperinci tentang cara mendayakan pilihan ini diberikan dalam arahan di laman web rasmi utusan: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Adalah penting untuk tidak menetapkan alamat e-mel untuk memulihkan kata laluan ini, kerana, sebagai peraturan, pemulihan kata laluan e-mel juga berlaku melalui SMS. Dengan cara yang sama, anda boleh meningkatkan keselamatan akaun WhatsApp anda.
Sumber: www.habr.com