Киберпреступники нашли способ взламывать аккаунты в мессенджерах: злоумышленники получали доступ к Telegram с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства. Об этом пишут «Ведомости» с ссылкой на исследование специалистов по кибербезопасности из Group IB.
«Во всех случаях на устройствах пострадавших единственным фактором авторизации были смс», — отметили в Group-IB.
Специалисты компании считают, что так неизвестные могут получить доступ и к другим мессенджерам, соцсетям, электронной почте и приложениям мобильного банкинга.
Несколько российских предпринимателей столкнулись с несанкционированным доступом неизвестных к их переписке в мессенджере Telegram, они обратились в Group-IB за помощью в расследовании этих инцидентов.
Атаки происходили по одному сценарию: пользователю приходило сообщение от сервисного канала Telegram с кодом подтверждения, который пользователь не запрашивал.
После этого на смартфон жертвы приходило смс с кодом активации — и почти сразу в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.
По данным Group-IB, злоумышленники заходили в чужой аккаунт с помощью мобильных телефонов. Они могли использовать одноразовые сим-карты, а IP-адреса атакующих в большинстве случаев находились в Самаре.
Как получают доступ
Group-IB отмечает, что техника жертв кибератаки не была заражена шпионской вредоносной программой или банковским трояном, их учетные записи не были взломаны, подмены сим-карты тоже не было. Во всех случаях злоумышленники получали доступ к мессенджеру с помощью смс-кодов, получаемых при входе в аккаунт с нового устройства.
При активации мессенджера на новом устройстве Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже на телефон уходит смс. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером смс с кодом, перехватывают его и используют для успешной авторизации в мессенджере.
Пока специалисты точно не установили, как именно перехватывались смс. «Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи», — считают в Group-IB. По их данным, на хакерских форумах в даркнете есть свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram.
Как защититься
В Telegram уже есть механизмы, которые сведут усилия атакующих на нет, но далеко не все пользователи их используют, указывают аналитики Group-IB.
«Рекомендую как можно скорее установить в Telegram дополнительный фактор авторизации в виде пароля, помимо обязательной смс, это важно сделать каждому», — говорит замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин.
Он также рекомендует проверить способ авторизации и в других приложениях, а также сервисах, которые используют смс-сообщения для авторизации.
В Group-IB предупреждают, что подобная атака может быть успешна только в случае, если в настройках Telegram на смартфоне не активирована опция «облачный пароль» или Two step verification.
