Konec leta 2019 se je več ruskih podjetnikov obrnilo na oddelek za preiskave kibernetske kriminalitete Group-IB, ki so se soočili s problemom nepooblaščenega dostopa neznanih oseb do njihove korespondence v messengerju Telegram. Do incidentov je prišlo na napravah iOS in Android, ne glede na to, pri katerem zveznem mobilnem operaterju je bila žrtev stranka.
Napad se je začel tako, da je uporabnik v messengerju Telegram s kanala storitve Telegram (to je uradni kanal messengerja z modrim preverjanjem) prejel sporočilo s potrditveno kodo, ki je uporabnik ni zahteval. Po tem je bilo na pametni telefon žrtve poslano SMS z aktivacijsko kodo - in skoraj takoj je bilo v kanalu storitve Telegram prejeto obvestilo, da je bil račun prijavljen iz nove naprave.
V vseh primerih, ki jih Group-IB pozna, so se napadalci prek mobilnega interneta prijavili v račun nekoga drugega (verjetno z uporabo SIM kartic za enkratno uporabo), IP naslov napadalcev pa je bil v večini primerov v Samari.
Dostop na zahtevo
Študija Laboratorija za računalniško forenziko Group-IB, kamor so bile prenesene elektronske naprave žrtev, je pokazala, da oprema ni bila okužena z vohunsko programsko opremo ali bančnim trojancem, računi niso bili vdrti in kartica SIM ni bila zamenjana. V vseh primerih so napadalci pridobili dostop do žrtvinega messengerja s kodami SMS, ki so jih prejeli ob prijavi v račun iz nove naprave.
Ta postopek je naslednji: ko aktivirate messenger na novi napravi, Telegram pošlje kodo prek servisnega kanala vsem uporabniškim napravam, nato pa (na zahtevo) na telefon pošlje SMS sporočilo. Ker napadalci to vedo, sami sprožijo zahtevo, da messenger pošlje SMS z aktivacijsko kodo, ta SMS prestreže in s prejeto kodo uspešno prijavi v messenger.
Tako napadalci pridobijo nezakonit dostop do vseh trenutnih klepetov, razen skrivnih, pa tudi do zgodovine korespondence v teh klepetih, vključno z datotekami in fotografijami, ki so jim bile poslane. Ko to odkrije, lahko zakoniti uporabnik Telegrama na silo prekine napadalčevo sejo. Zahvaljujoč implementiranemu zaščitnemu mehanizmu se nasprotno ne more zgoditi, napadalec ne more prekiniti starejših sej pravega uporabnika v 24 urah. Zato je pomembno pravočasno odkriti zunanjo sejo in jo končati, da ne izgubite dostopa do svojega računa. Strokovnjaki Group-IB so ekipi Telegrama poslali obvestilo o svoji preiskavi situacije.
Študija incidentov se nadaljuje in trenutno ni natančno ugotovljeno, kakšna shema je bila uporabljena za obhod faktorja SMS. Raziskovalci so v različnih časih navajali primere prestrezanja sporočil SMS z uporabo napadov na protokole SS7 ali Diameter, ki se uporabljajo v mobilnih omrežjih. Teoretično je takšne napade mogoče izvesti z nezakonito uporabo posebnih tehničnih sredstev ali notranjih informacij mobilnih operaterjev. Zlasti na hekerskih forumih v Darknetu so novi oglasi s ponudbami za vdor v različne messengerje, vključno s Telegramom.
"Strokovnjaki v različnih državah, vključno z Rusijo, so večkrat izjavili, da je mogoče vdreti v družbena omrežja, mobilno bančništvo in takojšnje sporočanje z uporabo ranljivosti v protokolu SS7, vendar so bili to osamljeni primeri ciljnih napadov ali eksperimentalnih raziskav," komentira Sergej Lupanin, vodja oddelka za preiskave kibernetske kriminalitete pri Group-IB, »V nizu novih incidentov, ki jih je že več kot 10, je očitna želja napadalcev, da bi to metodo zaslužka dali v promet. Da se to ne bi zgodilo, je treba povečati lastno raven digitalne higiene: vsaj, kjer je to mogoče, uporabiti dvofaktorsko avtentikacijo in dodati obvezni drugi faktor v SMS, ki je funkcionalno vključen v isti Telegram. ”
Kako se zaščititi?
1. Telegram je že implementiral vse potrebne možnosti kibernetske varnosti, ki bodo zmanjšale prizadevanja napadalcev na nič.
2. V napravah iOS in Android za Telegram morate iti v nastavitve Telegrama, izbrati zavihek »Zasebnost« in dodeliti »Cloud passwordTwo step verification« ali »Two step verification«. Podroben opis, kako omogočiti to možnost, je naveden v navodilih na uradni spletni strani messengerja: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Pomembno je, da ne nastavite e-poštnega naslova za obnovitev tega gesla, saj praviloma pride do obnovitve e-poštnega gesla tudi prek SMS-a. Na enak način lahko povečate varnost svojega računa WhatsApp.
Vir: www.habr.com