Group-IB: игнорирование двухфакторной авторизации привело к перехвату переписки в Telegram

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщает о ряде инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram на устройствах iOS и Android у клиентов разных операторов сотовой связи.

Во всех случаях на устройствах пострадавших единственным фактором авторизации были СМС. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для авторизации используются только СМС. 

В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.

Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.

Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре. 

 

Что делать, чтобы защитится?

Специалисты Group-IB подчеркивают, в Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет, однако пользуются ими далеко не все. «Рекомендую как можно скорее установить в Telegram дополнительный фактор авторизации в виде пароля, помимо обязательной CМС, это важно сделать каждому, — замечает Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. — Далее необходимо проверить и другие приложения, а также сервисы, которые используют СМС-сообщения для авторизации как основной или второй фактор или же для восстановления пароля к электронной почте, социальным сетям, доступу к приложениям мобильного банкинга, для доставки одноразовых паролей».

В Group-IB предупреждают, что подобная атака может быть успешна только в случае, если в настройках Telegram на смартфоне опция «Облачный пароль» или «Two step verification» не активированы. Именно поэтому на устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: https://telegram.org/blog/sessions-and-2-step-verification

Эксперты Group-IB добавляют, что желательно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.

 

Как получают доступ к мессенджеру 

Исследование Лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства. 

Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит СМС-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером СМС с кодом активации, перехватывают это СМС и используют полученный код для успешной авторизации в мессенджере. 

Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались. Обнаружив это, легальный пользователь Telegram может принудительно завершить сессию злоумышленника. Благодаря реализованному механизму защиты обратного произойти не может, злоумышленник не может завершить более старые сессии настоящего пользователя в течении 24 часов. Поэтому важно вовремя обнаружить постороннюю сессию и завершить её, чтобы не потерять доступ к аккаунту. Специалисты Group-IB направили уведомление команде Telegram о своем исследовании ситуации.

 

Доступ за 250 000 рублей 

Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи. В частности, на хакерских форумах в Даркнете свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram. 

«Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований, — комментирует Сергей Лупанин, руководитель отдела расследований киберпреступлений Group-IB, — В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того, чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную авторизацию везде, где возможно, и добавлять к СМС обязательный второй фактор, что функционально заложено в том же Telegram».

5 декабря, 2019

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.07.2025
От айтишников всё чаще требуют развитых soft skills
10.07.2025
Хакер попытался украсть личность госсекретаря США с помощью ИИ
10.07.2025
Финрегулятор хочет раскрыть имена собственников банков
10.07.2025
«Большая часть компаний начинает инвестировать в ИБ только в ответ на требования извне»
09.07.2025
Депутаты не одобрили деятельность «белых шляп»
09.07.2025
Командная игра в семь раз сократила объём NFC-хищений в России
09.07.2025
Trend Micro: У зловреда Bert — российские корни (вероятно)
09.07.2025
Только 5% компаний закладывает потери от кибератак в ИБ-бюджет
09.07.2025
В японские воды сойдёт дата-центр на 10000 тонн
08.07.2025
ГКРЧ выделила «дорогу» к сетям 5G

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных