På slutten av 2019 tok flere russiske gründere kontakt med Group-IBs etterforskningsavdeling for nettkriminalitet, som ble møtt med problemet med uautorisert tilgang til ukjente personers korrespondanse i Telegram-messengeren. Hendelsene skjedde på iOS- og Android-enheter, uavhengig av hvilken føderal mobiloperatør offeret var klient hos.
Angrepet begynte med at brukeren mottok en melding i Telegram-messengeren fra Telegram-tjenestekanalen (dette er den offisielle kanalen til messengeren med en blå bekreftelsessjekk) med en bekreftelseskode som brukeren ikke ba om. Etter dette ble en SMS med en aktiveringskode sendt til offerets smarttelefon - og nesten umiddelbart ble det mottatt et varsel i Telegram-tjenestekanalen om at kontoen var logget på fra en ny enhet.
I alle tilfeller som Group-IB kjenner til, logget angriperne seg inn på andres konto via mobilt Internett (sannsynligvis ved bruk av engangs-SIM-kort), og angripernes IP-adresse var i de fleste tilfeller i Samara.
Tilgang på forespørsel
En studie fra Group-IB Computer Forensics Laboratory, hvor ofrenes elektroniske enheter ble overført, viste at utstyret ikke var infisert med spyware eller banktrojaner, kontoene ble ikke hacket, og SIM-kortet ble ikke erstattet. I alle tilfeller fikk angriperne tilgang til offerets messenger ved å bruke SMS-koder mottatt når de logget på kontoen fra en ny enhet.
Denne prosedyren er som følger: når du aktiverer messenger på en ny enhet, sender Telegram en kode gjennom tjenestekanalen til alle brukerenheter, og deretter (på forespørsel) sendes en SMS-melding til telefonen. Når angriperne vet dette, initierer angriperne selv en forespørsel om at messengeren skal sende en SMS med en aktiveringskode, avskjære denne SMS-en og bruke den mottatte koden for å logge på messengeren.
Dermed får angripere ulovlig tilgang til alle aktuelle chatter, unntatt hemmelige, samt til korrespondansehistorikken i disse chattene, inkludert filer og bilder som ble sendt til dem. Etter å ha oppdaget dette, kan en legitim Telegram-bruker med makt avslutte angriperens økt. Takket være den implementerte beskyttelsesmekanismen kan det motsatte ikke skje; en angriper kan ikke avslutte eldre økter til en ekte bruker innen 24 timer. Derfor er det viktig å oppdage en ekstern økt i tide og avslutte den for ikke å miste tilgangen til kontoen din. Group-IB-spesialister sendte en melding til Telegram-teamet om deres etterforskning av situasjonen.
Studiet av hendelsene fortsetter, og foreløpig er det ikke fastslått nøyaktig hvilken ordning som ble brukt for å omgå SMS-faktoren. På ulike tidspunkt har forskere gitt eksempler på SMS-avlytting ved bruk av angrep på SS7- eller Diameter-protokollene som brukes i mobilnett. Teoretisk sett kan slike angrep utføres med ulovlig bruk av spesielle tekniske midler eller innsideinformasjon fra mobiloperatører. Spesielt på hackerfora på Darknet er det ferske annonser med tilbud om å hacke forskjellige budbringere, inkludert Telegram.
"Eksperter i forskjellige land, inkludert Russland, har gjentatte ganger uttalt at sosiale nettverk, mobilbanker og instant messengers kan hackes ved å bruke en sårbarhet i SS7-protokollen, men dette var isolerte tilfeller av målrettede angrep eller eksperimentell forskning," kommenterer Sergey Lupanin, leder. fra etterforskningsavdelingen for nettkriminalitet i Group-IB: «I en serie nye hendelser, hvorav det allerede er mer enn 10, er ønsket fra angripere om å sette denne metoden for å tjene penger i drift åpenbart. For å forhindre at dette skjer, er det nødvendig å øke ditt eget nivå av digital hygiene: som et minimum, bruk tofaktorautentisering der det er mulig, og legg til en obligatorisk andre faktor til SMS, som funksjonelt er inkludert i samme telegram. ”
Hvordan beskytte deg selv?
1. Telegram har allerede implementert alle nødvendige cybersikkerhetsalternativer som vil redusere angripernes innsats til ingenting.
2. På iOS- og Android-enheter for Telegram, må du gå til Telegram-innstillingene, velge «Personvern»-fanen og tilordne «SkypassordTostegsverifisering» eller «Totrinnsverifisering». En detaljert beskrivelse av hvordan du aktiverer dette alternativet er gitt i instruksjonene på den offisielle nettsiden til messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Det er viktig å ikke angi en e-postadresse for å gjenopprette dette passordet, siden gjenoppretting av e-postpassord som regel også skjer via SMS. På samme måte kan du øke sikkerheten til WhatsApp-kontoen din.
Kilde: www.habr.com