Në fund të vitit 2019, disa sipërmarrës rusë kontaktuan departamentin e hetimit të krimit kibernetik Group-IB, të cilët u përballën me problemin e aksesit të paautorizuar nga persona të panjohur në korrespondencën e tyre në mesazherin Telegram. Incidentet ndodhën në pajisjet iOS dhe Android, pavarësisht se cilit operator celular celular viktima ishte klient.
Sulmi filloi me marrjen e një mesazhi nga përdoruesi në mesazhin Telegram nga kanali i shërbimit Telegram (ky është kanali zyrtar i të dërguarit me një kontroll verifikimi blu) me një kod konfirmimi që përdoruesi nuk e kërkoi. Pas kësaj, një SMS me një kod aktivizimi u dërgua në telefonin inteligjent të viktimës - dhe pothuajse menjëherë u mor një njoftim në kanalin e shërbimit Telegram se llogaria ishte regjistruar nga një pajisje e re.
Në të gjitha rastet për të cilat Group-IB është në dijeni, sulmuesit hynë në llogarinë e dikujt tjetër përmes Internetit celular (ndoshta duke përdorur karta SIM të disponueshme), dhe adresa IP e sulmuesve në shumicën e rasteve ishte në Samara.
Qasje sipas kërkesës
Një studim i Laboratorit të Forenzikës Kompjuterike Group-IB, ku u transferuan pajisjet elektronike të viktimave, tregoi se pajisjet nuk ishin të infektuara me spyware ose trojan bankar, llogaritë nuk ishin hakuar dhe karta SIM nuk ishte zëvendësuar. Në të gjitha rastet, sulmuesit fituan akses në mesazherin e viktimës duke përdorur kodet SMS të marra kur hynin në llogari nga një pajisje e re.
Kjo procedurë është si më poshtë: kur aktivizoni të dërguarin në një pajisje të re, Telegram dërgon një kod përmes kanalit të shërbimit te të gjitha pajisjet e përdoruesit, dhe më pas (me kërkesë) dërgohet një mesazh SMS në telefon. Duke e ditur këtë, vetë sulmuesit nisin një kërkesë që mesazheri të dërgojë një SMS me një kod aktivizimi, të përgjojë këtë SMS dhe të përdorë kodin e marrë për t'u identifikuar me sukses në mesazher.
Kështu, sulmuesit fitojnë akses të paligjshëm në të gjitha bisedat aktuale, përveç atyre sekrete, si dhe në historinë e korrespondencës në këto biseda, duke përfshirë skedarët dhe fotot që u janë dërguar atyre. Pasi e ka zbuluar këtë, një përdorues legjitim i Telegram-it mund të përfundojë me forcë seancën e sulmuesit. Falë mekanizmit të zbatuar të mbrojtjes, e kundërta nuk mund të ndodhë; një sulmues nuk mund të përfundojë seancat e vjetra të një përdoruesi të vërtetë brenda 24 orëve. Prandaj, është e rëndësishme të zbuloni në kohë një seancë të jashtme dhe ta përfundoni atë në mënyrë që të mos humbni aksesin në llogarinë tuaj. Specialistët e Group-IB i dërguan një njoftim ekipit të Telegram për hetimin e situatës.
Studimi i incidenteve vazhdon dhe për momentin nuk është përcaktuar saktësisht se çfarë skeme është përdorur për të anashkaluar faktorin SMS. Në kohë të ndryshme, studiuesit kanë dhënë shembuj të përgjimit të SMS duke përdorur sulme në protokollet SS7 ose Diameter të përdorura në rrjetet celulare. Teorikisht, sulme të tilla mund të kryhen me përdorimin e paligjshëm të mjeteve të veçanta teknike ose informacioneve të brendshme nga operatorët celularë. Në veçanti, në forumet e hakerëve në Darknet ka reklama të reja me oferta për të hakuar mesazhe të ndryshme, përfshirë Telegram.
"Ekspertët në vende të ndryshme, përfshirë Rusinë, kanë deklaruar vazhdimisht se rrjetet sociale, bankat celulare dhe lajmëtarët e çastit mund të hakohen duke përdorur një cenueshmëri në protokollin SS7, por këto ishin raste të izoluara të sulmeve të synuara ose kërkimeve eksperimentale," komenton Sergey Lupanin, kreu. i departamentit të hetimit të krimit kibernetik në Group-IB, “Në një sërë incidentesh të reja, prej të cilave tashmë janë më shumë se 10, është e dukshme dëshira e sulmuesve për të vënë në qarkullim këtë metodë të fitimit të parave. Për të parandaluar që kjo të ndodhë, është e nevojshme të rrisni nivelin tuaj të higjienës dixhitale: të paktën përdorni vërtetimin me dy faktorë kudo që të jetë e mundur dhe shtoni një faktor të dytë të detyrueshëm në SMS, i cili funksionalisht përfshihet në të njëjtin Telegram. ”
Si të mbroheni?
1. Telegram ka zbatuar tashmë të gjitha opsionet e nevojshme të sigurisë kibernetike që do të zvogëlojnë përpjekjet e sulmuesve në asgjë.
2. Në pajisjet iOS dhe Android për Telegram, duhet të shkoni te cilësimet e Telegramit, të zgjidhni skedën "Privacy" dhe të caktoni "Verifikimin me dy hapa të fjalëkalimit në renë kompjuterike" ose "Verifikimin me dy hapa". Një përshkrim i hollësishëm se si të aktivizoni këtë opsion jepet në udhëzimet në faqen zyrtare të lajmëtarit: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Është e rëndësishme të mos vendosni një adresë emaili për të rikuperuar këtë fjalëkalim, pasi, si rregull, rikuperimi i fjalëkalimit të emailit ndodh edhe me SMS. Në të njëjtën mënyrë, ju mund të rrisni sigurinë e llogarisë suaj WhatsApp.
Burimi: www.habr.com