A finales de 2019, varios empresarios rusos recurrieron al departamento de investigación de delitos cibernéticos del Grupo IB, que se enfrentó al problema del acceso no autorizado de personas desconocidas a su correspondencia en el mensajero de Telegram. Los incidentes ocurrieron en dispositivos iOS y Android, sin importar de qué cliente fue víctima el operador móvil federal.
El ataque comenzó cuando se envió un mensaje al mensajero de Telegram desde el canal de servicio de Telegram (este es el canal de mensajería oficial con una marca de verificación azul) con un código de confirmación que el usuario no solicitó. Después de eso, un SMS con un código de activación cayó en el teléfono inteligente de la víctima, y casi de inmediato llegó una notificación al canal del servicio Telegram de que la cuenta había iniciado sesión desde un nuevo dispositivo.
En todos los casos que Group-IB conoce, los atacantes iniciaron sesión en la cuenta de otra persona a través de Internet móvil (probablemente usaron tarjetas SIM desechables), y en la mayoría de los casos la dirección IP de los atacantes estaba en Samara.
Acceso por pedido
Un estudio realizado por el Laboratorio Forense de Computación del Grupo IB, donde se transfirieron los dispositivos electrónicos de las víctimas, mostró que el equipo no estaba infectado con spyware o un troyano bancario, las cuentas no fueron pirateadas y no se reemplazaron las tarjetas SIM. En todos los casos, los atacantes obtuvieron acceso al mensajero de la víctima utilizando los códigos SMS recibidos al ingresar a la cuenta desde un nuevo dispositivo.
Este procedimiento es el siguiente: cuando el messenger se activa en un nuevo dispositivo, Telegram envía el código a través del canal de servicio a todos los dispositivos del usuario y luego (a pedido) se envía un mensaje SMS al teléfono. Sabiendo esto, los propios atacantes inician una solicitud para enviar un SMS con un código de activación por parte del mensajero, interceptan este SMS y usan el código recibido para una autorización exitosa en el mensajero.
Por lo tanto, los atacantes obtienen acceso ilegal a todos los chats actuales, excepto los secretos, así como al historial de correspondencia en estos chats, incluidos los archivos y las fotos que se les enviaron. Al descubrir esto, un usuario legítimo de Telegram puede terminar por la fuerza una sesión de atacante. Gracias al mecanismo de protección implementado, no puede ocurrir lo contrario, un atacante no puede completar las sesiones anteriores del usuario real en 24 horas. Por lo tanto, es importante detectar una sesión extraña a tiempo y completarla para no perder el acceso a su cuenta. Los especialistas del Grupo IB enviaron una notificación al equipo de Telegram sobre su estudio de la situación.
La investigación de incidentes continúa, y por el momento no se establece con precisión qué esquema se utilizó para eludir el factor SMS. En diferentes momentos, los investigadores dieron ejemplos de interceptación de SMS utilizando ataques en los protocolos SS7 o Diameter utilizados en redes móviles. Teóricamente, tales ataques pueden implementarse con el uso ilegal de medios técnicos especiales o de información privilegiada en los operadores móviles. En particular, en los foros de hackers en Darknet, hay nuevos anuncios con ofertas para hackear varios mensajeros instantáneos, incluido Telegram.
"Expertos en diferentes países, incluida Rusia, han declarado en repetidas ocasiones que las redes sociales, la banca móvil y la mensajería instantánea pueden ser pirateadas utilizando vulnerabilidades en el protocolo SS7, pero estos fueron casos aislados de ataques dirigidos o investigaciones experimentales", comenta Sergey Lupanin , Jefe del Departamento de Investigación de Delitos Cibernéticos del Grupo IB, - En una serie de nuevos incidentes, que ya son más de 10, los atacantes obviamente quieren poner esta forma de ganar dinero. Para evitar que esto suceda, debe aumentar su propio nivel de higiene digital: al menos use la autenticación de dos factores siempre que sea posible y agregue un segundo factor obligatorio a los SMS, que está funcionalmente integrado en el propio Telegram ".
¿Cómo protegerte?
1. Telegram ya ha implementado todas las opciones de ciberseguridad necesarias que reducirán los esfuerzos del atacante a la nada.
2. En dispositivos iOS y Android para Telegram, vaya a la configuración de Telegram, seleccione la pestaña "Privacidad" y asigne "Contraseña en la nube \ Verificación en dos pasos" o "Verificación en dos pasos". Una descripción detallada de cómo habilitar esta opción se encuentra en las instrucciones en el sitio web oficial de messenger:
telegram.org/blog/sessions-and-2-step-verification (https://telegram.org/blog/sessions-and-2-step-verification)
3. Es importante no establecer una dirección de correo electrónico para restaurar esta contraseña, ya que, por regla general, la recuperación de la contraseña al correo electrónico también se produce a través de SMS. Del mismo modo, puede aumentar la protección de su cuenta de WhatsApp.