Крајем 2019. године, неколико руских предузетника контактирало је одељење за истрагу сајбер криминала компаније Group-IB након што су наишли на неовлашћени приступ својим Телеграм порукама. Инциденти су се догодили на iOS и Android уређајима. Android, без обзира на то чији је клијент био савезни мобилни оператер жртва.
Напад је почео тако што је корисник примио поруку у Телеграм месинџеру са канала услуге Телеграм (ово је званични канал месинџера са плавом верификационом провером) са потврдним кодом који корисник није захтевао. Након тога, СМС са активационим кодом послат је на паметни телефон жртве - и скоро одмах је на каналу услуге Телеграм примљено обавештење да је налог пријављен са новог уређаја.
У свим случајевима за које Група-ИБ зна, нападачи су се пријавили на туђи налог преко мобилног интернета (вероватно користећи СИМ картице за једнократну употребу), а ИП адреса нападача је у већини случајева била у Самари.
Приступ на захтев
Студија Лабораторије за компјутерску форензику Групе-ИБ, у коју су пребачени електронски уређаји жртава, показала је да опрема није заражена шпијунским софтвером или банковним тројаном, налози нису хаковани, а СИМ картица није замењена. У свим случајевима, нападачи су добили приступ месинџеру жртве користећи СМС кодове примљене приликом пријављивања на налог са новог уређаја.
Ова процедура је следећа: приликом активације месинџера на новом уређају, Телеграм шаље код преко сервисног канала свим корисничким уређајима, а затим се (на захтев) шаље СМС порука на телефон. Знајући ово, нападачи сами покрећу захтев да месинџер пошаље СМС са активационим кодом, пресретне овај СМС и искористи примљени код да се успешно пријави на месинџер.
Тако нападачи добијају нелегалан приступ свим актуелним четовима, осим тајним, као и историји преписке у тим четовима, укључујући датотеке и фотографије које су им послате. Пошто ово открије, легитимни корисник Телеграма може насилно прекинути сесију нападача. Захваљујући имплементираном механизму заштите, нападач не може да прекине старије сесије стварног корисника у року од 24 сата. Због тога је важно на време открити спољну сесију и прекинути је како не бисте изгубили приступ свом налогу. Специјалисти Групе-ИБ послали су обавештење Телеграм тиму о њиховој истрази ситуације.
Проучавање инцидената се наставља, а тренутно није тачно утврђено која је шема коришћена да се заобиђе СМС фактор. У различитим временима, истраживачи су давали примере пресретања СМС-а користећи нападе на СС7 или Диаметер протоколе који се користе у мобилним мрежама. Теоретски, такви напади могу бити изведени уз незакониту употребу специјалних техничких средстава или инсајдерске информације од мобилних оператера. Конкретно, на хакерским форумима на Даркнету постоје свеже рекламе са понудама за хаковање разних гласника, укључујући Телеграм.
„Стручњаци у различитим земљама, укључујући Русију, више пута су изјављивали да друштвене мреже, мобилно банкарство и инстант месинџери могу бити хаковани коришћењем рањивости у СС7 протоколу, али то су били изоловани случајеви циљаних напада или експерименталног истраживања“, коментарише Сергеј Лупанин, директор из одељења за истраживање сајбер криминала у Групи-ИБ, „У низу нових инцидената, којих је већ више од 10, очигледна је жеља нападача да овај метод зараде ставе на ток. Да до тога не би дошло, потребно је да повећате сопствени ниво дигиталне хигијене: у најмању руку користите двофакторску аутентификацију где год је то могуће, а СМС-у додајте обавезни други фактор, који је функционално укључен у исти Телеграм. ”
Како се заштитити?
1. Телеграм је већ имплементирао све неопходне опције сајбер безбедности које ће свести напоре нападача на ништа.
2. На iOS уређајима и Android За Телеграм, идите у подешавања Телеграма, изаберите картицу „Приватност“ и подесите „Лозинка за облак/Двостепена верификација“. Детаљна упутства о томе како да омогућите ову опцију доступна су на званичној веб страници месинџера: (хттпс://телеграм.орг/блог/сессионс-анд-2-степ-верифицатион)
3. Важно је да не поставите адресу е-поште за враћање ове лозинке, пошто се, по правилу, враћање лозинке путем е-поште одвија и путем СМС-а. На исти начин можете повећати сигурност свог ВхатсАпп налога.
Извор: ввв.хабр.цом
