Vào cuối năm 2019, một số doanh nhân Nga đã liên hệ với bộ phận điều tra tội phạm mạng Group-IB, những người đang phải đối mặt với vấn đề những người không rõ danh tính truy cập trái phép vào thư từ của họ trong ứng dụng nhắn tin Telegram. Sự cố xảy ra trên thiết bị iOS và Android, bất kể nạn nhân là khách hàng của nhà mạng di động liên bang nào.
Cuộc tấn công bắt đầu với việc người dùng nhận được tin nhắn trong Telegram Messenger từ kênh dịch vụ Telegram (đây là kênh chính thức của Messenger có kiểm tra xác minh màu xanh lam) kèm theo mã xác nhận mà người dùng không yêu cầu. Sau đó, một tin nhắn SMS có mã kích hoạt đã được gửi đến điện thoại thông minh của nạn nhân - và gần như ngay lập tức trên kênh dịch vụ Telegram nhận được thông báo rằng tài khoản đã được đăng nhập từ một thiết bị mới.
Trong mọi trường hợp mà Group-IB biết, những kẻ tấn công đã đăng nhập vào tài khoản của người khác thông qua Internet di động (có thể sử dụng thẻ SIM dùng một lần) và địa chỉ IP của kẻ tấn công trong hầu hết các trường hợp là ở Samara.
Truy cập theo yêu cầu
Một nghiên cứu của Phòng thí nghiệm pháp y máy tính Group-IB, nơi các thiết bị điện tử của nạn nhân được chuyển giao, cho thấy thiết bị này không bị nhiễm phần mềm gián điệp hoặc Trojan ngân hàng, các tài khoản không bị hack và thẻ SIM không được thay thế. Trong mọi trường hợp, những kẻ tấn công đã giành được quyền truy cập vào tin nhắn của nạn nhân bằng mã SMS nhận được khi đăng nhập vào tài khoản từ một thiết bị mới.
Quy trình này như sau: khi kích hoạt trình nhắn tin trên thiết bị mới, Telegram sẽ gửi mã qua kênh dịch vụ tới tất cả các thiết bị người dùng và sau đó (theo yêu cầu) một tin nhắn SMS sẽ được gửi đến điện thoại. Biết được điều này, những kẻ tấn công sẽ tự mình yêu cầu người đưa tin gửi một tin nhắn SMS có mã kích hoạt, chặn tin nhắn SMS này và sử dụng mã nhận được để đăng nhập thành công vào người đưa tin.
Do đó, những kẻ tấn công có quyền truy cập bất hợp pháp vào tất cả các cuộc trò chuyện hiện tại, ngoại trừ những cuộc trò chuyện bí mật, cũng như lịch sử thư từ trong các cuộc trò chuyện này, bao gồm cả các tệp và ảnh đã được gửi cho chúng. Sau khi phát hiện ra điều này, người dùng Telegram hợp pháp có thể buộc chấm dứt phiên của kẻ tấn công. Nhờ cơ chế bảo vệ được triển khai, điều ngược lại không thể xảy ra; kẻ tấn công không thể chấm dứt các phiên cũ hơn của người dùng thực trong vòng 24 giờ. Vì vậy, điều quan trọng là phải phát hiện kịp thời phiên bên ngoài và kết thúc phiên đó để không mất quyền truy cập vào tài khoản của bạn. Các chuyên gia của Group-IB đã gửi thông báo tới nhóm Telegram về việc họ đang điều tra tình hình.
Nghiên cứu về các sự cố vẫn tiếp tục và hiện tại vẫn chưa xác định chính xác sơ đồ nào đã được sử dụng để vượt qua yếu tố SMS. Vào nhiều thời điểm khác nhau, các nhà nghiên cứu đã đưa ra ví dụ về việc chặn SMS bằng cách sử dụng các cuộc tấn công vào giao thức SS7 hoặc Đường kính được sử dụng trong mạng di động. Về mặt lý thuyết, các cuộc tấn công như vậy có thể được thực hiện bằng cách sử dụng trái phép các phương tiện kỹ thuật đặc biệt hoặc thông tin nội bộ từ các nhà khai thác di động. Đặc biệt, trên các diễn đàn hacker trên Darknet có những quảng cáo mới với những lời đề nghị hack nhiều ứng dụng nhắn tin khác nhau, bao gồm cả Telegram.
Sergey Lupanin, người đứng đầu nhận xét: “Các chuyên gia ở các quốc gia khác nhau, bao gồm cả Nga, đã nhiều lần tuyên bố rằng mạng xã hội, ngân hàng di động và tin nhắn tức thời có thể bị tấn công bằng cách sử dụng lỗ hổng trong giao thức SS7, nhưng đây là những trường hợp cá biệt về các cuộc tấn công có chủ đích hoặc nghiên cứu thử nghiệm”. của bộ phận điều tra tội phạm mạng tại Group-IB, “Trong một loạt vụ việc mới, trong đó đã có hơn 10 vụ, việc những kẻ tấn công mong muốn đưa phương thức kiếm tiền này vào hoạt động là điều hiển nhiên. Để ngăn điều này xảy ra, bạn cần phải nâng cao mức độ vệ sinh kỹ thuật số của chính mình: tối thiểu, sử dụng xác thực hai yếu tố bất cứ khi nào có thể và thêm yếu tố thứ hai bắt buộc vào SMS, yếu tố này có chức năng trong cùng một Telegram. ”
Làm thế nào để bảo vệ bản thân?
1. Telegram đã triển khai tất cả các tùy chọn an ninh mạng cần thiết để làm giảm nỗ lực của những kẻ tấn công xuống con số không.
2. Trên thiết bị iOS và Android dành cho Telegram, bạn cần đi tới cài đặt Telegram, chọn tab “Quyền riêng tư” và gán “Mật khẩu đám mây Xác minh hai bước” hoặc “Xác minh hai bước”. Mô tả chi tiết về cách kích hoạt tùy chọn này được đưa ra trong hướng dẫn trên trang web chính thức của trình nhắn tin: (https://telegram.org/blog/sessions-and-2-step-verification)
3. Điều quan trọng là không đặt địa chỉ email để khôi phục mật khẩu này, vì theo quy định, việc khôi phục mật khẩu email cũng diễn ra qua SMS. Theo cách tương tự, bạn có thể tăng tính bảo mật cho tài khoản WhatsApp của mình.
Nguồn: www.habr.com