Наприкінці 2019 року до відділу розслідувань кіберзлочинів Group-IB звернулися кілька російських підприємців, які зіткнулися з проблемою несанкціонованого доступу невідомих до листування в месенджері Telegram. Інциденти відбувалися на пристроях iOS та Android, незалежно від того клієнтом якого федерального оператора стільникового зв'язку був постраждалий.
Атака починалася з того, що до месенджера Telegram користувачеві надходило повідомлення від сервісного каналу Telegram (це офіційний канал месенджера з синьою галочкою верифікації) з кодом підтвердження, який користувач не запитував. Після цього на смартфон жертви падало СМС з кодом активації - і практично відразу ж до сервісного каналу Telegram надходило повідомлення про те, що в акаунт було зроблено вхід з нового пристрою.
У всіх випадках, про які відомо Group-IB, зловмисники заходили в чужий аккаунт через мобільний інтернет (ймовірно, використовувалися одноразові сім-картки), а IP-адреса атакуючих у більшості випадків знаходилася в Самарі.
Доступ на замовлення
Дослідження Лабораторії комп'ютерної криміналістики Group-IB, куди були передані електронні пристрої постраждалих, показало, що техніка не була заражена шкідливою шпигунською програмою або банківським трояном, облікові записи не зламані, заміни SIM-карти зроблено не було. У всіх випадках зловмисники отримували доступ до месенджера жертви за допомогою СМС-кодів, які отримували при вході в аккаунт з нового пристрою.
Ця процедура виглядає наступним чином: при активації месенджера на новому пристрої Telegram відправляє код через сервісний канал на всі пристрої користувача, а потім вже (за запитом) на телефон йде SMS-повідомлення. Знаючи про це, зловмисники самі ініціюють запит на відправку месенджером SMS з кодом активації, перехоплюють це SMS і використовують отриманий код для успішної авторизації в месенджері.
Таким чином, атакуючі отримують нелегальний доступ до всіх поточних чатів, крім секретних, а також до історії листування в цих чатах, у тому числі до файлів і фотографій, які пересилалися в них. Виявивши це, легальний користувач Telegram може примусово завершити сесію зловмисника. Завдяки реалізованому механізму захисту зворотного відбутися не може, зловмисник не може завершити більш старі сесії цього користувача протягом 24 годин. Тому важливо вчасно знайти сторонню сесію та завершити її, щоб не втратити доступ до облікового запису. Фахівці Group-IB направили повідомлення команді Telegram про дослідження ситуації.
Вивчення інцидентів триває, і зараз точно не встановлено, яка саме схема використовувалася для обходу фактора СМС. У різний час дослідники наводили приклади перехоплення SMS за допомогою атак на протоколи SS7 або Diameter, що використовуються в мобільних мережах. Теоретично подібні атаки можуть бути реалізовані з нелегальним використанням спеціальних технічних засобів або інсайду в операторах мобільного зв'язку. Зокрема, на хакерських форумах у Даркнеті нові оголошення з пропозиціями злому різних месенджерів, у тому числі і Telegram.
«Фахівці в різних країнах, у тому числі й у Росії, неодноразово заявляли про те, що соціальні мережі, мобільний банкінг та месенджери можна зламати за допомогою вразливості у протоколі SS7, проте це були поодинокі випадки цілеспрямованих атак чи експериментальних досліджень, – коментує Сергій Лупанін. , керівник відділу розслідувань кіберзлочинів Group-IB, — У серії нових інцидентів, яких вже понад 10, очевидно бажання атакуючих поставити цей спосіб заробітку на потік. Для того, щоб цього не відбулося, необхідно підвищувати власний рівень цифрової гігієни: як мінімум використовувати двофакторну аутентифікацію скрізь, де можливо, і додавати до СМС обов'язковий другий фактор, що функціонально закладено у тому Telegram».
Як захиститися?
1. У Telegram вже реалізовані всі необхідні опції кібербезпеки, які зведуть зусилля атакуючих нанівець.
2. На пристроях iOS та Android для Telegram необхідно перейти в налаштування Telegram, вибрати вкладку «Конфіденційність» та призначити «Хмарний пароль Двокрокову перевірку» або «Two step verification». Детальний опис включення цієї опції дано в інструкції на офіційному сайті месенджера: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Важливо не встановлювати адресу електронної пошти для відновлення пароля, оскільки, як правило, відновлення пароля до електронної пошти теж відбувається через СМС. Аналогічно можна підвищити захист облікового запису в WhatsApp.
Джерело: habr.com