Pod koniec 2019 roku z wydziałem dochodzeniowym ds. cyberprzestępczości Grupy IB skontaktowało się kilku rosyjskich przedsiębiorców, którzy stanęli przed problemem nieuprawnionego dostępu nieznanych osób do ich korespondencji w komunikatorze Telegram. Do incydentów doszło na urządzeniach z systemem iOS i Android, niezależnie od tego, jakiego federalnego operatora komórkowego ofiara była klientem.
Atak rozpoczął się od otrzymania przez użytkownika wiadomości w komunikatorze Telegram z kanału usługi Telegram (jest to oficjalny kanał komunikatora z niebieskim czekiem weryfikacyjnym) z kodem potwierdzającym, którego użytkownik nie żądał. Następnie na smartfon ofiary wysłano wiadomość SMS z kodem aktywacyjnym i niemal natychmiast w kanale usługi Telegram otrzymano powiadomienie, że konto zostało zalogowane z nowego urządzenia.
We wszystkich przypadkach, o których wie Group-IB, napastnicy logowali się na cudze konto za pośrednictwem mobilnego Internetu (prawdopodobnie przy użyciu jednorazowych kart SIM), a adres IP atakujących w większości przypadków znajdował się w Samarze.
Dostęp na życzenie
Badanie przeprowadzone przez Laboratorium Informatyki Kryminalistycznej Group-IB, do którego przekazano urządzenia elektroniczne ofiar, wykazało, że sprzęt ten nie był zainfekowany oprogramowaniem szpiegującym ani trojanem bankowym, nie doszło do włamań do kont ani wymiany karty SIM. We wszystkich przypadkach napastnicy uzyskali dostęp do komunikatora ofiary za pomocą kodów SMS otrzymanych podczas logowania się na konto z nowego urządzenia.
Procedura ta wygląda następująco: podczas aktywacji komunikatora na nowym urządzeniu Telegram wysyła kod kanałem serwisowym do wszystkich urządzeń użytkownika, a następnie (na żądanie) na telefon wysyłana jest wiadomość SMS. Wiedząc o tym, napastnicy sami inicjują żądanie wysłania przez komunikator wiadomości SMS zawierającej kod aktywacyjny, przechwytują tę wiadomość i wykorzystują otrzymany kod do pomyślnego zalogowania się do komunikatora.
W ten sposób atakujący uzyskują nielegalny dostęp do wszystkich bieżących czatów, z wyjątkiem tajnych, a także do historii korespondencji w tych czatach, w tym plików i zdjęć, które zostały do nich przesłane. Po odkryciu tego legalny użytkownik Telegramu może wymusić zakończenie sesji osoby atakującej. Dzięki zaimplementowanemu mechanizmowi ochrony nie może zdarzyć się sytuacja odwrotna, osoba atakująca nie może zakończyć starszych sesji prawdziwego użytkownika w ciągu 24 godzin. Dlatego ważne jest, aby w porę wykryć sesję zewnętrzną i ją zakończyć, aby nie stracić dostępu do swojego konta. Specjaliści Group-IB przesłali powiadomienie do zespołu Telegramu o zbadaniu sytuacji.
Badanie incydentów trwa i w tej chwili nie ustalono dokładnie, jaki schemat został zastosowany w celu ominięcia czynnika SMS. Badacze w różnych momentach podawali przykłady przechwytywania wiadomości SMS przy użyciu ataków na protokoły SS7 lub Diameter stosowane w sieciach komórkowych. Teoretycznie takie ataki można przeprowadzić przy użyciu nielegalnych specjalnych środków technicznych lub informacji poufnych od operatorów komórkowych. W szczególności na forach hakerskich w Darknecie pojawiają się nowe reklamy z ofertami hackowania różnych komunikatorów, w tym Telegramu.
„Eksperci z różnych krajów, w tym z Rosji, wielokrotnie stwierdzali, że sieci społecznościowe, bankowość mobilna i komunikatory internetowe mogą zostać zhakowane przy użyciu luki w protokole SS7, ale były to odosobnione przypadki ataków ukierunkowanych lub badań eksperymentalnych” – komentuje Siergiej Lupanin, szef z działu dochodzeń w sprawie cyberprzestępczości w Group-IB: „W serii nowych incydentów, których jest już ponad 10, oczywista jest chęć atakujących wykorzystania tej metody zarabiania pieniędzy. Aby temu zapobiec, należy zwiększyć własny poziom higieny cyfrowej: przynajmniej tam, gdzie to możliwe, korzystaj z uwierzytelniania dwuskładnikowego i dodaj obowiązkowy drugi czynnik do SMS-ów, które funkcjonalnie są zawarte w tym samym telegramie. ”
Jak się chronić?
1. Telegram wdrożył już wszystkie niezbędne opcje cyberbezpieczeństwa, które zredukują wysiłki atakujących do zera.
2. Na urządzeniach iOS i Android dla Telegramu musisz przejść do ustawień Telegramu, wybrać zakładkę „Prywatność” i przypisać „Hasło do chmury” Weryfikacja dwuetapowa” lub „Weryfikacja dwuetapowa”. Szczegółowy opis włączenia tej opcji znajduje się w instrukcji na oficjalnej stronie komunikatora: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Ważne jest, aby nie ustawiać adresu e-mail do odzyskiwania tego hasła, ponieważ z reguły odzyskiwanie hasła do poczty elektronicznej odbywa się również za pośrednictwem wiadomości SMS. W ten sam sposób możesz zwiększyć bezpieczeństwo swojego konta WhatsApp.
Źródło: www.habr.com