Group-IB сообщила о попытках взлома переписки в Telegram через СМС
Мошенники попытались получить доступ пользователей к переписке в мессенджере Telegram, используя перехваченные СМС-сообщения, которые приходят пользователю в момент, когда он собирается зайти в приложение на новом устройстве. Об этом говорится в расследовании Group-IB (есть в распоряжении РБК).
Этот способ был обнаружен после того, как в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые сообщили, что неизвестные смогли получить доступ к их переписке в Telegram. Исследование показало, что во всех случаях был использован этот способ взлома.
При активации мессенджера на новом устройстве Telergam отправляет код авторизации через сервисный канал на все устройства пользователя, а затем по запросу пользователя СМС-сообщение на телефон. Злоумышленники инициировали отправку такого запроса, после чего перехватывали СМС-сообщение, отправленное Telegram на номер пользователя, и получали код для авторизации. Мошенники заходили в чужой аккаунт через мобильный интернет, вероятнее всего, используя одноразовые сим-карты, отмечает Group-IB.
Пользователи мессенджера, заметив, что им приходит код авторизации без предварительного запроса, могут принудительно завершить сессию злоумышленников, указывают эксперты.
Чтобы защититься от мошенников, специалисты Group-IB советуют устанавливать в Telegram и других мессенджерах и сервисах дополнительный способ авторизации в виде пароля. Также не стоит устанавливать адрес электронной почты для восстановления пароля, так как в большинстве случаев восстановление пароля к почте также происходит через СМС.
Подобный способ получения доступа к чужой переписке основатель Telegram Павел Дуров описывал еще в 2016 году. Тогда он рассказал, что аккаунты активиста Олега Козловского и сотрудника Фонда борьбы с коррупцией Георгия Албурова были взломаны, так как код для авторизации, отправленный им по СМС, был перехвачен. В мае этого года Дуров также заявил, что таким же образом попытались взломать аккаунты журналистов, которые освещали протесты в Екатеринбурге, вызванные планами построить храм в городском сквере. Он отметил, что получить доступ к переписке журналистов не удалось, так как у них была подключена двухфакторная авторизация.
По словам эксперта «Лаборатории Касперского» Виктора Чебышева, атаки на мессенджеры можно назвать трендом последних лет. «В некоторых случаях применяются шпионские программы, такие как, например, FinSpy или Skygofree. Однако в некоторых случаях взламывают не мобильное устройство жертвы, а компьютер, на котором установлена и активна программа мессенджера, или же работает его веб-сессия», — cообщил он РБК.
По словам Чебышева, самой технологически сложной атакой на данный момент является атака на протокол SS7 (набор сигнальных телефонных протоколов, используемых для настройки большинства телефонных станций в мире. — РБК). В случае успешной попытки взлома протокола у злоумышленников появляется возможность перехватить звонки и СМС жертвы.
«От атак на SS7 защиты пока не придумано. Однако возможность обезопасить себя есть: в мессенджерах предусмотрены возможности двухфакторной аутентификации в сочетании с кодом-паролем. Такой пароль перехватить непросто, для этого придется заразить устройство вредоносным ПО, а это далеко не всегда возможно», — пояснил он. «Особо важные переговоры следует вести не по телефону, а использовать VoIP-телефонию с шифрованием», — отметил он.
В компании Dr. Web РБК сообщили, что обезопасить себя от различных уязвимостей поможет антивирусное ПО на мобильном устройстве. «Определенные гарантии сохранности данных и кардинальное снижение риска утечек может дать только антивирус. Вовремя обновлять базы, не отключать компоненты защиты, вовремя обновлять ПО на мобильном устройстве и не переходить по ссылкам из СМС, использовать двухфакторную авторизацию», — перечислил РБК представитель компании.