2019 年底,几位俄罗斯企业家联系了 Group-IB 网络犯罪调查部门,他们面临着身份不明的人未经授权访问他们在 Telegram Messenger 中的通信的问题。 这些事件发生在 iOS 和 Android 设备上,无论受害者是哪家联邦移动运营商的客户。
攻击开始时,用户在 Telegram Messenger 中从 Telegram 服务通道(这是带有蓝色验证检查的Messenger的官方通道)收到一条消息,其中包含用户未请求的确认码。 此后,一条带有激活码的短信被发送到受害者的智能手机上,并且几乎立即在 Telegram 服务频道中收到一条通知,表明该帐户已从新设备登录。
在 Group-IB 所知的所有案例中,攻击者都是通过移动互联网(可能使用一次性 SIM 卡)登录他人的账户,而攻击者的 IP 地址在大多数情况下都在萨马拉。
根据要求访问
Group-IB计算机取证实验室的一项研究显示,受害者的电子设备被转移,设备没有感染间谍软件或银行木马,账户没有被黑客入侵,SIM卡也没有被更换。 在所有情况下,攻击者都会使用从新设备登录帐户时收到的短信代码来访问受害者的信使。
此过程如下:在新设备上激活信使时,Telegram 通过服务通道向所有用户设备发送代码,然后(根据请求)将 SMS 消息发送到手机。 知道这一点后,攻击者自己向Messenger发送带有激活码的短信请求,拦截该短信并使用收到的代码成功登录Messenger。
因此,攻击者可以非法访问除秘密聊天之外的所有当前聊天,以及这些聊天中的通信历史记录,包括发送给他们的文件和照片。 发现这一点后,合法的 Telegram 用户可以强制终止攻击者的会话。 由于实施了保护机制,相反的情况不会发生;攻击者无法在 24 小时内终止真实用户的旧会话。 因此,及时检测并结束外部会话非常重要,以免失去对帐户的访问权限。 Group-IB 专家向 Telegram 团队发送了有关他们对情况调查的通知。
对这些事件的研究仍在继续,目前尚不清楚究竟使用了什么方案来绕过短信因素。 研究人员多次给出了通过攻击移动网络中使用的 SS7 或 Diameter 协议来拦截 SMS 的示例。 理论上,此类攻击可以通过非法使用特殊技术手段或蜂窝运营商的内部信息来实施。 特别是,在暗网上的黑客论坛上,有新鲜的广告提供黑客各种通讯工具的服务,包括 Telegram。
“包括俄罗斯在内的不同国家的专家一再表示,社交网络、移动银行和即时通讯工具可以利用 SS7 协议中的漏洞进行黑客攻击,但这些都是有针对性的攻击或实验研究的孤立案例,”该公司负责人谢尔盖·卢帕宁 (Sergey Lupanin) 评论道。 Group-IB 网络犯罪调查部门的负责人表示,“在一系列新事件中(已经有超过 10 起),攻击者将这种赚钱方法投入使用的愿望是显而易见的。 为了防止这种情况发生,有必要提高您自己的数字卫生水平:至少,尽可能使用双因素身份验证,并在 SMS 中添加强制性的第二因素,该因素在功能上包含在同一个 Telegram 中。 ”
如何保护自己?
1. Telegram 已经实施了所有必要的网络安全选项,这将使攻击者的努力化为乌有。
2. 在使用 Telegram 的 iOS 和 Android 设备上,您需要进入 Telegram 设置,选择“隐私”选项卡并分配“云密码两步验证”或“两步验证”。 关于如何启用此选项的详细说明在Messenger官网的说明中给出: (https://telegram.org/blog/sessions-and-2-step-verification)
3. 重要的是不要设置电子邮件地址来恢复此密码,因为通常情况下,电子邮件密码恢复也是通过短信进行的。 同样,您可以提高 WhatsApp 帐户的安全性。
来源: habr.com