Информационный портал ITSZ

Оригинал документа: http://spbit.su/news/n216231/


     
 

Игнорирование двухфакторной авторизации привело к перехвату переписки в Telegram

04.12.2019 11:28
Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщает о ряде инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram на устройствах iOS и Android у клиентов разных операторов сотовой связи.

Во всех случаях на устройствах пострадавших единственным фактором авторизации были СМС. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для авторизации используются только СМС.  

В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший. 

Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.

Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре.  

Что делать, чтобы защититься? 

Специалисты Group-IB подчеркивают, в Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет, однако пользуются ими далеко не все. «Рекомендую как можно скорее установить в Telegram дополнительный фактор авторизации в виде пароля, помимо обязательной CМС, это важно сделать каждому, — замечает Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. — Далее необходимо проверить и другие приложения, а также сервисы, которые используют СМС-сообщения для авторизации как основной или второй фактор или же для восстановления пароля к электронной почте, социальным сетям, доступу к приложениям мобильного банкинга, для доставки одноразовых паролей». 

В Group-IB предупреждают, что подобная атака может быть успешна только в случае, если в настройках Telegram на смартфоне опция «Облачный пароль» или «Two step verification» не активированы. Именно поэтому на устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный парольДвухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера. 

Эксперты Group-IB добавляют, что желательно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp. 

Как получают доступ к мессенджеру  

Исследование Лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.  

Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит СМС-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером СМС с кодом активации, перехватывают это СМС и используют полученный код для успешной авторизации в мессенджере.  

Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались. Обнаружив это, легальный пользователь Telegram может принудительно завершить сессию злоумышленника. Благодаря реализованному механизму защиты обратного произойти не может, злоумышленник не может завершить более старые сессии настоящего пользователя в течении 24 часов. Поэтому важно вовремя обнаружить постороннюю сессию и завершить её, чтобы не потерять доступ к аккаунту. Специалисты Group-IB направили уведомление команде Telegram о своем исследовании ситуации. 

Доступ за 250 000 рублей  

Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи. В частности, на хакерских форумах в Даркнете свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram.  

«Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований, — комментирует Сергей Лупанин, руководитель отдела расследований киберпреступлений Group-IB, — В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того, чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную авторизацию везде, где возможно, и добавлять к СМС обязательный второй фактор, что функционально заложено в том же Telegram».

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 ITSZ. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.ITSZ.spbit.su
Ресурс разработан и поддерживается компанией Peterlink Web