Eind 2019 namen verschillende Russische ondernemers contact op met de onderzoeksafdeling voor cybercriminaliteit van Group-IB, die werden geconfronteerd met het probleem van ongeoorloofde toegang door onbekende personen tot hun correspondentie in de Telegram-messenger. De incidenten vonden plaats op iOS- en Android-apparaten, ongeacht bij welke federale mobiele operator het slachtoffer klant was.
De aanval begon toen de gebruiker een bericht ontving in de Telegram-messenger van het Telegram-servicekanaal (dit is het officiële kanaal van de messenger met een blauwe verificatiecontrole) met een bevestigingscode waar de gebruiker niet om had gevraagd. Hierna werd een sms met een activeringscode naar de smartphone van het slachtoffer gestuurd - en vrijwel onmiddellijk werd er een melding ontvangen in het Telegram-servicekanaal dat het account was ingelogd vanaf een nieuw apparaat.
In alle gevallen waar Group-IB van op de hoogte is, logden de aanvallers in op het account van iemand anders via mobiel internet (waarschijnlijk met behulp van wegwerp-simkaarten), en het IP-adres van de aanvallers bevond zich in de meeste gevallen in Samara.
Toegang op aanvraag
Uit een onderzoek van het Group-IB Computer Forensics Laboratory, waar de elektronische apparaten van de slachtoffers werden overgedragen, bleek dat de apparatuur niet was geïnfecteerd met spyware of een banking Trojan, dat de accounts niet waren gehackt en dat de simkaart niet was vervangen. In alle gevallen kregen de aanvallers toegang tot de messenger van het slachtoffer met behulp van sms-codes die ze ontvingen bij het inloggen op het account vanaf een nieuw apparaat.
Deze procedure is als volgt: bij het activeren van de messenger op een nieuw apparaat stuurt Telegram via het servicekanaal een code naar alle gebruikersapparaten en vervolgens wordt (op verzoek) een sms-bericht naar de telefoon verzonden. Dit wetende, initiëren de aanvallers zelf een verzoek aan de messenger om een sms met een activeringscode te sturen, onderscheppen deze sms en gebruiken de ontvangen code om succesvol in te loggen op de messenger.
Aanvallers krijgen dus illegale toegang tot alle huidige chats, behalve geheime, evenals tot de geschiedenis van de correspondentie in deze chats, inclusief bestanden en foto's die naar hen zijn verzonden. Als een legitieme Telegram-gebruiker dit heeft ontdekt, kan hij de sessie van de aanvaller met geweld beëindigen. Dankzij het geïmplementeerde beveiligingsmechanisme kan het tegenovergestelde niet gebeuren; een aanvaller kan oudere sessies van een echte gebruiker niet binnen 24 uur beëindigen. Daarom is het belangrijk om een externe sessie tijdig te detecteren en te beëindigen, zodat u de toegang tot uw account niet verliest. Specialisten van Group-IB stuurden een melding naar het Telegram-team over hun onderzoek naar de situatie.
Het onderzoek naar de incidenten gaat door en op dit moment is niet precies bekend welk plan werd gebruikt om de SMS-factor te omzeilen. Op verschillende momenten hebben onderzoekers voorbeelden gegeven van het onderscheppen van sms-berichten met behulp van aanvallen op de SS7- of Diameter-protocollen die in mobiele netwerken worden gebruikt. Theoretisch kunnen dergelijke aanvallen worden uitgevoerd met illegaal gebruik van speciale technische middelen of voorkennis van mobiele operators. Met name op hackerforums op het Darknet zijn er nieuwe advertenties met aanbiedingen om verschillende boodschappers te hacken, waaronder Telegram.
“Experts in verschillende landen, waaronder Rusland, hebben herhaaldelijk verklaard dat sociale netwerken, mobiel bankieren en instant messengers kunnen worden gehackt met behulp van een kwetsbaarheid in het SS7-protocol, maar dit waren geïsoleerde gevallen van gerichte aanvallen of experimenteel onderzoek”, zegt Sergey Lupanin, hoofd van de cybercriminaliteitsonderzoeksafdeling van Group-IB: “In een reeks nieuwe incidenten, waarvan er al meer dan 10 zijn, wordt de wens van aanvallers om deze manier om geld te verdienen duidelijk. Om dit te voorkomen, is het noodzakelijk om uw eigen niveau van digitale hygiëne te verhogen: gebruik waar mogelijk minimaal tweefactorauthenticatie en voeg een verplichte tweede factor toe aan sms, die functioneel is opgenomen in hetzelfde Telegram. ”
Hoe jezelf beschermen?
1. Telegram heeft al alle noodzakelijke cyberbeveiligingsopties geïmplementeerd die de inspanningen van aanvallers tot niets zullen reduceren.
2. Op iOS- en Android-apparaten voor Telegram moet je naar de Telegram-instellingen gaan, het tabblad 'Privacy' selecteren en 'Cloud-wachtwoordTweestapsverificatie' of 'Tweestapsverificatie' toewijzen. Een gedetailleerde beschrijving van hoe u deze optie kunt inschakelen, wordt gegeven in de instructies op de officiële website van de messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Het is belangrijk om geen e-mailadres in te stellen om dit wachtwoord te herstellen, aangezien het herstellen van het e-mailwachtwoord in de regel ook via sms gebeurt. Op dezelfde manier kunt u de veiligheid van uw WhatsApp-account vergroten.
Bron: www.habr.com