2019 年底,幾位俄羅斯企業家聯繫了 Group-IB 網路犯罪調查部門,他們面臨著身份不明的人未經授權訪問他們在 Telegram Messenger 中的通訊的問題。 這些事件發生在 iOS 和 Android 裝置上,無論受害者是哪家聯邦行動電信商的客戶。
攻擊開始時,使用者在 Telegram Messenger 中從 Telegram 服務通道(這是一個帶有藍色驗證檢查的Messenger的官方通道)收到一條訊息,其中包含用戶未要求的確認碼。 此後,一條帶有啟動碼的簡訊被發送到受害者的智慧型手機上,並且幾乎立即在 Telegram 服務頻道中收到一條通知,表明該帳戶已從新裝置登入。
在 Group-IB 所知的所有案例中,攻擊者都是透過行動網路(可能使用一次性 SIM 卡)登入他人的帳戶,而攻擊者的 IP 位址在大多數情況下都在薩馬拉。
根據要求訪問
Group-IB電腦鑑識實驗室的一項研究顯示,受害者的電子設備被轉移,設備沒有感染間諜軟體或銀行木馬,帳戶沒有被駭客入侵,SIM卡也沒有被更換。 在所有情況下,攻擊者都會使用從新裝置登入帳戶時收到的簡訊代碼來存取受害者的信使。
此過程如下:在新裝置上啟動信差時,Telegram 透過服務通道向所有使用者裝置發送代碼,然後(根據請求)將 SMS 訊息傳送到手機。 知道這一點後,攻擊者自己向Messenger發送帶有啟動碼的簡訊請求,攔截該簡訊並使用收到的代碼成功登入Messenger。
因此,攻擊者可以非法存取除秘密聊天之外的所有當前聊天,以及這些聊天中的通訊歷史記錄,包括發送給他們的文件和照片。 發現這一點後,合法的 Telegram 使用者可以強制終止攻擊者的會話。 由於實施了保護機制,相反的情況不會發生;攻擊者無法在 24 小時內終止真實使用者的舊會話。 因此,及時偵測並結束外部會話非常重要,以免失去帳戶的存取權。 Group-IB 專家向 Telegram 團隊發送了有關他們對情況調查的通知。
對這些事件的研究仍在繼續,目前尚不清楚究竟使用了什麼方案來繞過簡訊因素。 研究人員多次給出了透過攻擊行動網路中使用的 SS7 或 Diameter 協定來攔截 SMS 的範例。 理論上,此類攻擊可以透過非法使用特殊技術手段或蜂窩運營商的內部資訊來實施。 特別是,在暗網上的駭客論壇上,有新鮮的廣告提供駭客各種通訊工具的服務,包括 Telegram。
“包括俄羅斯在內的不同國家的專家一再表示,社交網路、行動銀行和即時通訊工具可以利用SS7 協議中的漏洞進行黑客攻擊,但這些都是有針對性的攻擊或實驗研究的孤立案例,”該公司負責人謝爾蓋·盧帕寧(Sergey Lupanin) 評論道。 Group-IB 網路犯罪調查部門的負責人表示,「在一系列新事件中(已經有超過10 起),攻擊者將這種賺錢方法投入使用的願望是顯而易見的。 為了防止這種情況發生,有必要提高您自己的數位衛生水平:至少,盡可能使用雙重認證,並在SMS 中添加強制性的第二因素,該因素在功能上包含在同一個Telegram 中。 ”
如何保護自己?
1. Telegram 已經實施了所有必要的網路安全選項,這將使攻擊者的努力化為烏有。
2. 在使用 Telegram 的 iOS 和 Android 裝置上,您需要進入 Telegram 設置,選擇「隱私權」標籤並分配「雲端密碼兩步驟驗證」或「兩步驟驗證」。 關於如何啟用此選項的詳細說明在Messenger官網的說明中給出: (https://telegram.org/blog/sessions-and-2-step-verification)
3. 重要的是不要設定電子郵件地址來恢復此密碼,因為通常情況下,電子郵件密碼恢復也是透過簡訊進行的。 同樣,您可以提高 WhatsApp 帳戶的安全性。
來源: www.habr.com