Бесплатно Экспресс-аудит сайта:

05.12.2019

Злоумышленники научились похищать переписки в Telegram

Специалисты компании Group-IB сообщили о взломах ряда учетных записей пользователей Telegram, где единственным фактором аутентификации были SMS-сообщения. По словам специалистов, жертвами взломов стали владельцы как iOS-, так и Android-устройств, являющиеся абонентами разных операторов связи.

Эксперты Group-IB выявили инциденты, когда к ним обратилось несколько российских предпринимателей с жалобами на то, что посторонние получили доступ к их перепискам в Telegram. В начале атаки жертва получала в Telegram сообщение от сервисного канала мессенджера с кодом подтверждения, который она не запрашивала. Далее приходило SMS-сообщения с кодом активации, и практически сразу же в учетную запись осуществлялся вход с нового устройства.

«Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре», - сообщили специалисты.

В ходе экспертизы мобильных устройств, предоставленных Group-IB жертвами взломов, никаких вредоносных или шпионских программ выявлено не было. Специалисты также не обнаружили признаков компрометации учетных записей или подмены SIM-карт. Во всех случаях киберпреступники получали доступ к мессенджеру с помощью SMS-кодов, получаемых при авторизации в учетной записи на новом устройстве.

Как происходит атака? При активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) – соответствующую «смску» на телефон. Атакующий инициирует запрос на отправку мессенджером SMS-кода, который затем перехватывает и использует для авторизации в учетной записи жертвы. Таким образом он может получить доступ ко всем текущим чатам (за исключением секретных), истории переписки, в том числе к файлам и фотографиям.

Какой именно способ использовали злоумышленники для обхода фактора SMS, специалисты пока не установили. Не исключено, что они проэксплуатировали уязвимости в протоколах SS7 (ОКС-7) или Diameter, используемых в мобильных сетях. Расследование инцидентов продолжается.