Sa pagtatapos ng 2019, ilang mga negosyanteng Ruso ang nakipag-ugnayan sa departamento ng pagsisiyasat ng cybercrime ng Group-IB na nahaharap sa problema ng hindi awtorisadong pag-access ng mga hindi kilalang tao sa kanilang mga sulat sa messenger ng Telegram. Naganap ang mga insidente sa mga iOS at Android device, hindi alintana kung aling pederal na cellular operator ang naging kliyente ng biktima.
Nagsimula ang pag-atake sa pagtanggap ng user ng mensahe sa Telegram messenger mula sa Telegram service channel (ito ang opisyal na channel ng messenger na may asul na verification check) na may confirmation code na hindi hiniling ng user. Pagkatapos nito, isang SMS na may isang activation code ang ipinadala sa smartphone ng biktima - at halos agad na isang abiso ang natanggap sa channel ng serbisyo ng Telegram na ang account ay naka-log in mula sa isang bagong device.
Sa lahat ng kaso na alam ng Group-IB, nag-log in ang mga umaatake sa account ng ibang tao sa pamamagitan ng mobile Internet (marahil ay gumagamit ng mga disposable SIM card), at ang IP address ng mga umaatake sa karamihan ng mga kaso ay nasa Samara.
Access kapag hiniling
Ang isang pag-aaral ng Group-IB Computer Forensics Laboratory, kung saan inilipat ang mga electronic device ng mga biktima, ay nagpakita na ang kagamitan ay hindi nahawaan ng spyware o banking Trojan, ang mga account ay hindi na-hack, at ang SIM card ay hindi pinalitan. Sa lahat ng kaso, ang mga umaatake ay nakakuha ng access sa messenger ng biktima gamit ang mga SMS code na natanggap kapag nagla-log in sa account mula sa isang bagong device.
Ang pamamaraang ito ay ang mga sumusunod: kapag ina-activate ang messenger sa isang bagong device, ang Telegram ay nagpapadala ng isang code sa pamamagitan ng channel ng serbisyo sa lahat ng mga device ng gumagamit, at pagkatapos (kapag hiniling) isang mensaheng SMS ay ipinadala sa telepono. Alam ito, ang mga umaatake mismo ang nagpasimula ng kahilingan para sa messenger na magpadala ng SMS na may activation code, maharang ang SMS na ito at gamitin ang natanggap na code upang matagumpay na mag-log in sa messenger.
Kaya, ang mga umaatake ay nakakakuha ng iligal na pag-access sa lahat ng kasalukuyang mga chat, maliban sa mga lihim, pati na rin sa kasaysayan ng mga sulat sa mga chat na ito, kabilang ang mga file at larawan na ipinadala sa kanila. Nang matuklasan ito, ang isang lehitimong gumagamit ng Telegram ay maaaring puwersahang wakasan ang sesyon ng umaatake. Salamat sa ipinatupad na mekanismo ng proteksyon, hindi maaaring mangyari ang kabaligtaran; hindi maaaring wakasan ng isang umaatake ang mga mas lumang session ng isang tunay na user sa loob ng 24 na oras. Samakatuwid, mahalagang matukoy ang isang session sa labas sa oras at tapusin ito upang hindi mawalan ng access sa iyong account. Ang mga espesyalista ng Group-IB ay nagpadala ng abiso sa Telegram team tungkol sa kanilang pagsisiyasat sa sitwasyon.
Ang pag-aaral ng mga insidente ay nagpapatuloy, at sa ngayon ay hindi pa naitatag nang eksakto kung anong pamamaraan ang ginamit upang i-bypass ang SMS factor. Sa iba't ibang pagkakataon, nagbigay ang mga mananaliksik ng mga halimbawa ng SMS interception gamit ang mga pag-atake sa SS7 o Diameter protocol na ginagamit sa mga mobile network. Sa teorya, ang mga naturang pag-atake ay maaaring isagawa sa ilegal na paggamit ng mga espesyal na teknikal na paraan o panloob na impormasyon mula sa mga cellular operator. Sa partikular, sa mga forum ng hacker sa Darknet mayroong mga sariwang ad na may mga alok upang i-hack ang iba't ibang mga messenger, kabilang ang Telegram.
"Ang mga eksperto sa iba't ibang bansa, kabilang ang Russia, ay paulit-ulit na nagsabi na ang mga social network, mobile banking at instant messenger ay maaaring ma-hack gamit ang isang kahinaan sa SS7 protocol, ngunit ang mga ito ay mga nakahiwalay na kaso ng mga naka-target na pag-atake o eksperimentong pananaliksik," komento ni Sergey Lupanin, pinuno. ng cybercrime investigation department sa Group-IB, "Sa isang serye ng mga bagong insidente, kung saan mayroon nang higit sa 10, ang pagnanais ng mga umaatake na ilagay ang pamamaraang ito ng kumita ng pera sa stream. Upang maiwasang mangyari ito, kinakailangan na pataasin ang iyong sariling antas ng digital na kalinisan: sa pinakamababa, gumamit ng dalawang-factor na pagpapatotoo hangga't maaari, at magdagdag ng isang ipinag-uutos na pangalawang kadahilanan sa SMS, na gumaganang kasama sa parehong Telegram. β
Paano mo maprotektahan ang iyong sarili?
1. Ipinatupad na ng Telegram ang lahat ng kinakailangang opsyon sa cybersecurity na magbabawas sa mga pagsisikap ng mga umaatake sa wala.
2. Sa iOS at Android device para sa Telegram, kailangan mong pumunta sa mga setting ng Telegram, piliin ang tab na "Privacy" at italaga ang "Cloud passwordTwo step verification" o "Two step verification". Ang isang detalyadong paglalarawan kung paano paganahin ang pagpipiliang ito ay ibinibigay sa mga tagubilin sa opisyal na website ng messenger: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Mahalagang huwag magtakda ng email address para mabawi ang password na ito, dahil, bilang panuntunan, nangyayari rin ang pagbawi ng email password sa pamamagitan ng SMS. Sa parehong paraan, maaari mong dagdagan ang seguridad ng iyong WhatsApp account.
Pinagmulan: www.habr.com