No final de 2019, vários empresários russos contactaram o departamento de investigação de crimes cibernéticos do Grupo-IB que se depararam com o problema de acesso não autorizado por pessoas desconhecidas à sua correspondência no mensageiro Telegram. Os incidentes ocorreram em dispositivos iOS e Android, independentemente da operadora federal de celular da qual a vítima era cliente.
O ataque começou com o usuário recebendo uma mensagem no mensageiro Telegram do canal de atendimento Telegram (este é o canal oficial do mensageiro com cheque de verificação azul) com um código de confirmação que o usuário não solicitou. Depois disso, um SMS com um código de ativação foi enviado para o smartphone da vítima – e quase imediatamente foi recebida uma notificação no canal de atendimento do Telegram informando que a conta havia sido logada a partir de um novo dispositivo.
Em todos os casos de que o Grupo-IB tem conhecimento, os atacantes iniciaram sessão na conta de outra pessoa através da Internet móvel (provavelmente utilizando cartões SIM descartáveis), e o endereço IP dos atacantes, na maioria dos casos, estava em Samara.
Acesso mediante solicitação
Um estudo do Laboratório de Computação Forense do Grupo-IB, para onde foram transferidos os dispositivos eletrónicos das vítimas, revelou que os equipamentos não estavam infetados com spyware ou Trojan bancário, as contas não foram hackeadas e o cartão SIM não foi substituído. Em todos os casos, os invasores obtiveram acesso ao mensageiro da vítima por meio de códigos SMS recebidos ao fazer login na conta a partir de um novo dispositivo.
Este procedimento é o seguinte: ao ativar o mensageiro em um novo aparelho, o Telegram envia um código pelo canal de atendimento para todos os aparelhos do usuário, e então (mediante solicitação) uma mensagem SMS é enviada para o telefone. Sabendo disso, os próprios invasores iniciam uma solicitação para que o mensageiro envie um SMS com um código de ativação, interceptem esse SMS e utilizem o código recebido para fazer login com sucesso no mensageiro.
Assim, os invasores obtêm acesso ilegal a todos os chats atuais, exceto os secretos, bem como ao histórico de correspondência desses chats, incluindo arquivos e fotos que lhes foram enviados. Ao descobrir isso, um usuário legítimo do Telegram pode encerrar à força a sessão do invasor. Graças ao mecanismo de proteção implementado, o oposto não pode acontecer; um invasor não pode encerrar sessões mais antigas de um usuário real dentro de 24 horas. Portanto, é importante detectar a tempo uma sessão externa e encerrá-la para não perder o acesso à sua conta. Os especialistas do Grupo-IB enviaram uma notificação à equipe do Telegram sobre a investigação da situação.
O estudo dos incidentes continua e no momento não está estabelecido exatamente qual esquema foi utilizado para contornar o fator SMS. Em vários momentos, os pesquisadores deram exemplos de interceptação de SMS usando ataques aos protocolos SS7 ou Diameter usados em redes móveis. Teoricamente, tais ataques podem ser realizados com o uso ilegal de meios técnicos especiais ou de informações privilegiadas das operadoras de celular. Em particular, em fóruns de hackers na Darknet, há novos anúncios com ofertas para hackear vários mensageiros, incluindo o Telegram.
“Especialistas em diferentes países, incluindo a Rússia, afirmaram repetidamente que redes sociais, serviços bancários móveis e mensageiros instantâneos podem ser hackeados usando uma vulnerabilidade no protocolo SS7, mas estes foram casos isolados de ataques direcionados ou pesquisas experimentais”, comenta Sergey Lupanin, chefe do departamento de investigação de crimes cibernéticos do Grupo-IB, “Em uma série de novos incidentes, dos quais já existem mais de 10, o desejo dos invasores de colocar esse método de ganhar dinheiro em operação é óbvio. Para evitar que isso aconteça, é necessário aumentar o seu próprio nível de higiene digital: no mínimo, utilizar a autenticação de dois fatores sempre que possível, e adicionar um segundo fator obrigatório ao SMS, que está funcionalmente incluído no mesmo Telegram. ”
Como se proteger?
1. O Telegram já implementou todas as opções de segurança cibernética necessárias que reduzirão a nada os esforços dos invasores.
2. Em dispositivos iOS e Android para Telegram, você precisa ir até as configurações do Telegram, selecionar a guia “Privacidade” e atribuir “Senha na nuvem Verificação em duas etapas” ou “Verificação em duas etapas”. Uma descrição detalhada de como habilitar esta opção é dada nas instruções do site oficial do messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. É importante não configurar um endereço de e-mail para recuperação desta senha, pois, via de regra, a recuperação de senha do e-mail também ocorre via SMS. Da mesma forma, você pode aumentar a segurança da sua conta do WhatsApp.
Fonte: habr.com