Eind 2019 namen verschillende Russische ondernemers contact op met de afdeling cybercriminaliteitsonderzoek van Group-IB nadat ze ongeautoriseerde toegang tot hun Telegram-berichten hadden ondervonden. De incidenten vonden plaats op iOS- en Android-apparaten. Androidongeacht bij welke federale mobiele operator het slachtoffer klant was.
De aanval begon ermee dat de gebruiker een bericht ontving in de Telegram-messenger via het Telegram-servicekanaal (dit is het officiële kanaal van de messenger met een blauw vinkje ter verificatie) met een bevestigingscode die de gebruiker niet had aangevraagd. Hierna werd een sms met een activeringscode naar de smartphone van het slachtoffer gestuurd en vrijwel onmiddellijk daarna werd een melding naar het Telegram-servicekanaal gestuurd dat er vanaf een nieuw apparaat op het account was ingelogd.
In alle gevallen die Group-IB kent, logden de aanvallers in op het account van iemand anders via mobiel internet (waarschijnlijk met behulp van wegwerp-SIM-kaarten). Het IP-adres van de aanvallers bevond zich in de meeste gevallen in Samara.
Toegang op aanvraag
Uit onderzoek van het Group-IB Computer Forensics Laboratory, waar de elektronische apparaten van de slachtoffers naartoe werden gestuurd, bleek dat de apparatuur niet was geïnfecteerd met spyware of een banking-Trojan, dat de accounts niet waren gehackt en dat de SIM-kaart niet was vervangen. In alle gevallen kregen de aanvallers toegang tot de berichtendienst van het slachtoffer via sms-codes die ze ontvingen toen ze vanaf een nieuw apparaat inlogden op het account.
Deze procedure ziet er als volgt uit: bij het activeren van de messenger op een nieuw apparaat, verstuurt Telegram een code via het servicekanaal naar alle apparaten van de gebruiker, en vervolgens wordt er (op verzoek) een sms-bericht naar de telefoon gestuurd. Wetende dat, vragen de aanvallers zelf aan de messenger om een sms-bericht met een activeringscode te versturen. Ze onderscheppen dit sms-bericht en gebruiken de ontvangen code voor succesvolle autorisatie in de messenger.
Op deze manier krijgen aanvallers onrechtmatig toegang tot alle actieve chats, behalve de geheime chats, en tot de correspondentiegeschiedenis van deze chats, inclusief de bestanden en foto's die naar hen zijn verzonden. Zodra dit wordt ontdekt, kan een legitieme Telegram-gebruiker de sessie van de aanvaller geforceerd beëindigen. Dankzij het geïmplementeerde beschermingsmechanisme kan het omgekeerde niet gebeuren; Een aanvaller kan oudere sessies van een echte gebruiker niet binnen 24 uur beëindigen. Daarom is het belangrijk om een ongeautoriseerde sessie tijdig te detecteren en te beëindigen, zodat u de toegang tot uw account niet verliest. Specialisten van Group-IB stuurden een melding naar het Telegramteam over hun onderzoek naar de situatie.
Er loopt nog steeds onderzoek naar de incidenten. Op dit moment is het nog niet duidelijk welke truc is gebruikt om de SMS-factor te omzeilen. Onderzoekers hebben al vaker voorbeelden aangehaald van het onderscheppen van SMS-berichten met behulp van aanvallen op de SS7- of Diameter-protocollen die in mobiele netwerken worden gebruikt. Theoretisch gezien zouden dergelijke aanvallen uitgevoerd kunnen worden met behulp van illegale inzet van speciale technische middelen of insiderinformatie van mobiele operators. Vooral op hackersforums op het Darknet duiken regelmatig advertenties op waarin wordt aangeboden om verschillende messengers, waaronder Telegram, te hacken.
"Experts in verschillende landen, waaronder Rusland, hebben herhaaldelijk verklaard dat sociale netwerken, mobiel bankieren en instant messengers gehackt kunnen worden met behulp van een kwetsbaarheid in het SS7-protocol, maar dit waren geïsoleerde gevallen van gerichte aanvallen of experimentele studies", aldus Sergey Lupanin, hoofd van de afdeling cybercriminaliteitsonderzoek bij Group-IB. In een reeks nieuwe incidenten, waarvan er al meer dan tien zijn, is het duidelijk dat de aanvallers deze manier van geld verdienen willen inzetten. Om dit te voorkomen, is het noodzakelijk om je eigen digitale hygiëne te verhogen: gebruik minimaal tweefactorauthenticatie waar mogelijk en voeg een verplichte tweede factor toe aan sms, die functioneel is ingebouwd in dezelfde Telegram.
Hoe bescherm je jezelf?
1. Telegram heeft alle benodigde opties voor cyberbeveiliging geïmplementeerd, waardoor de inspanningen van aanvallers tot nul worden gereduceerd.
2. Op iOS-apparaten en Android Ga voor Telegram naar de instellingen, selecteer het tabblad 'Privacy' en schakel 'Cloudwachtwoord/Tweestapsverificatie' in. Gedetailleerde instructies voor het inschakelen van deze optie zijn te vinden op de officiële website van de messenger. (https://telegram.org/blog/sessies-en-2-stapsverificatie)
3. Het is belangrijk om geen e-mailadres in te stellen voor het herstellen van dit wachtwoord, aangezien het herstellen van e-mailwachtwoorden doorgaans ook via sms plaatsvindt. Op een vergelijkbare manier kunt u de beveiliging van uw WhatsApp-account vergroten.
Bron: www.habr.com
