Koncom roka 2019 kontaktovalo oddelenie vyšetrovania počítačovej kriminality Group-IB niekoľko ruských podnikateľov, ktorí čelili problému neoprávneného prístupu neznámych osôb k ich korešpondencii v telegramovom messengeri. K incidentom došlo na zariadeniach so systémom iOS a Android bez ohľadu na to, ktorého federálneho mobilného operátora bola obeť klientom.
Útok sa začal tým, že používateľ dostal správu v telegramovom messenger z kanála služby Telegram (toto je oficiálny kanál posla s modrou overovacou kontrolou) s potvrdzovacím kódom, ktorý si používateľ nevyžiadal. Potom bola na smartfón obete odoslaná SMS s aktivačným kódom - a takmer okamžite bolo na kanáli služby Telegram prijaté upozornenie, že účet bol prihlásený z nového zariadenia.
Vo všetkých prípadoch, o ktorých Group-IB vie, sa útočníci prihlásili do účtu niekoho iného cez mobilný internet (pravdepodobne pomocou jednorazových SIM kariet) a IP adresa útočníkov bola vo väčšine prípadov v Samare.
Prístup na požiadanie
Štúdia počítačového forenzného laboratória Group-IB, kam boli prenesené elektronické zariadenia obetí, ukázala, že zariadenie nebolo infikované spywarom alebo bankovým trójskym koňom, účty neboli napadnuté a SIM karta nebola vymenená. Vo všetkých prípadoch útočníci získali prístup k messengerovi obete pomocou SMS kódov prijatých pri prihlásení do účtu z nového zariadenia.
Tento postup je nasledovný: pri aktivácii messengeru na novom zariadení odošle Telegram kód cez servisný kanál všetkým užívateľským zariadeniam a potom (na požiadanie) odošle SMS správu do telefónu. S vedomím toho samotní útočníci iniciujú požiadavku, aby messenger poslal SMS s aktivačným kódom, zachytil túto SMS a pomocou prijatého kódu sa úspešne prihlásil do messengeru.
Útočníci tak získavajú nelegálny prístup ku všetkým aktuálnym chatom, okrem tajných, ako aj k histórii korešpondencie v týchto chatoch, vrátane súborov a fotografií, ktoré im boli zaslané. Keď to legitímny používateľ telegramu zistí, môže násilne ukončiť reláciu útočníka. Vďaka implementovanému ochrannému mechanizmu sa nemôže stať opak, útočník nemôže ukončiť staršie relácie reálneho používateľa do 24 hodín. Preto je dôležité reláciu zvonku odhaliť včas a ukončiť ju, aby ste nestratili prístup k svojmu účtu. Špecialisti Group-IB poslali tímu Telegramu oznámenie o vyšetrovaní situácie.
Štúdia incidentov pokračuje av súčasnosti nie je presne stanovené, aká schéma bola použitá na obídenie faktora SMS. Výskumníci v rôznych časoch uviedli príklady odpočúvania SMS pomocou útokov na protokoly SS7 alebo Diameter používané v mobilných sieťach. Teoreticky môžu byť takéto útoky uskutočnené s nezákonným použitím špeciálnych technických prostriedkov alebo interných informácií od mobilných operátorov. Najmä na hackerských fórach na Darknete sú čerstvé reklamy s ponukami na hacknutie rôznych poslov vrátane Telegramu.
„Odborníci z rôznych krajín, vrátane Ruska, opakovane uviedli, že sociálne siete, mobilné bankovníctvo a instant messenger môžu byť napadnuté pomocou zraniteľnosti v protokole SS7, ale išlo o ojedinelé prípady cielených útokov alebo experimentálneho výskumu,“ komentuje Sergey Lupanin, riaditeľ. z oddelenia vyšetrovania počítačovej kriminality v Group-IB: „V sérii nových incidentov, ktorých je už viac ako 10, je zrejmá túžba útočníkov spustiť tento spôsob zarábania peňazí. Aby k tomu nedochádzalo, je potrebné zvýšiť vlastnú úroveň digitálnej hygieny: minimálne používať dvojfaktorovú autentifikáciu všade tam, kde je to možné, a do SMS pridať povinný druhý faktor, ktorý je funkčne zahrnutý v tom istom telegrame. “
Ako sa chranit
1. Telegram už implementoval všetky potrebné možnosti kybernetickej bezpečnosti, ktoré znížia úsilie útočníkov na nič.
2. Na zariadeniach so systémom iOS a Android pre telegram musíte prejsť do nastavení telegramu, vybrať kartu „Ochrana osobných údajov“ a priradiť „heslo do clouduVerifikácia v dvoch krokoch“ alebo „Verifikácia v dvoch krokoch“. Podrobný popis, ako povoliť túto možnosť, je uvedený v pokynoch na oficiálnej webovej stránke messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Je dôležité, aby ste nenastavili e-mailovú adresu na obnovenie tohto hesla, pretože obnovenie hesla e-mailu sa spravidla uskutočňuje aj prostredníctvom SMS. Rovnakým spôsobom môžete zvýšiť bezpečnosť svojho účtu WhatsApp.
Zdroj: hab.com