في نهاية عام 2019 ، لجأ العديد من رواد الأعمال الروس إلى قسم التحقيق في الجرائم الإلكترونية Group-IB ، الذين واجهوا مشكلة الوصول غير المصرح به من قبل أشخاص مجهولين إلى مراسلاتهم في برنامج Telegram messenger. وقعت الحوادث على أجهزة iOS و Android ، بغض النظر عن العميل الذي كان مشغل الهاتف المحمول الفيدرالي ضحية له.
بدأ الهجوم عندما تم إرسال رسالة إلى Telegram messenger من قناة خدمة Telegram (هذه هي قناة المراسلة الرسمية ذات علامة التحقق الزرقاء) مع رمز التأكيد الذي لم يطلبه المستخدم. بعد ذلك ، سقطت رسالة نصية قصيرة تحتوي على رمز التفعيل على الهاتف الذكي للضحية - وعلى الفور ، وصل إشعار إلى قناة خدمة Telegram تفيد بأن الحساب قد تم تسجيل الدخول من جهاز جديد.
في جميع الحالات التي تعرفها Group-IB ، قام المهاجمون بتسجيل الدخول إلى حساب شخص آخر عبر الإنترنت عبر الهاتف المحمول (ربما يستخدمون بطاقات SIM يمكن التخلص منها) ، وفي معظم الحالات كان عنوان IP الخاص بالمهاجمين في سمارة.
الوصول عن طريق النظام
أظهرت دراسة قام بها Group-IB Computer Forensics Laboratory ، حيث تم نقل الأجهزة الإلكترونية للضحايا ، أن الجهاز لم يكن مصابًا ببرامج تجسس أو طروادة مصرفية ، ولم يتم اختراق الحسابات ، ولم يتم استبدال بطاقات SIM. في جميع الحالات ، تمكن المهاجمون من الوصول إلى رسول الضحية باستخدام رموز SMS المستلمة عند دخول الحساب من جهاز جديد.
هذا الإجراء كالتالي: عندما يتم تنشيط برنامج المراسلة على جهاز جديد ، يرسل Telegram الرمز عبر قناة الخدمة إلى جميع أجهزة المستخدم ، ثم (عند الطلب) يتم إرسال رسالة نصية قصيرة إلى الهاتف. مع العلم أن المهاجمين أنفسهم يبدؤون طلبًا لإرسال رسالة نصية قصيرة تحتوي على رمز التفعيل من قِبل الرسول ، واعتراض هذه الرسالة القصيرة واستخدام الرمز الذي تم استلامه للحصول على ترخيص ناجح في برنامج المراسلة.
وبالتالي ، فإن المهاجمين يحصلون على وصول غير قانوني إلى جميع الدردشات الحالية ، باستثناء المحادثات السرية ، وكذلك إلى تاريخ المراسلات في هذه الدردشات ، بما في ذلك الملفات والصور التي تم إرسالها إليهم. عند اكتشاف ذلك ، يمكن لمستخدم Telegram الشرعي إنهاء جلسة المهاجمين بالقوة. بفضل آلية الحماية المطبقة ، لا يمكن أن يحدث العكس ، لا يمكن للمهاجم إكمال الجلسات الأقدم للمستخدم الحقيقي خلال 24 ساعة. لذلك ، من المهم اكتشاف جلسة خارجية في الوقت المناسب وإكمالها حتى لا تفقد الوصول إلى حسابك. أرسل متخصصو Group-IB إخطارًا إلى فريق Telegram حول دراستهم للوضع.
يستمر التحقيق في الحوادث ، وفي الوقت الحالي ، لم يتم تحديد أي مخطط تم استخدامه للتحايل على عامل الرسائل القصيرة. في أوقات مختلفة ، قدم الباحثون أمثلة على اعتراض الرسائل القصيرة باستخدام الهجمات على بروتوكولات SS7 أو Diameter المستخدمة في شبكات المحمول. من الناحية النظرية ، يمكن تنفيذ هذه الهجمات باستخدام غير قانوني لوسائل تقنية خاصة أو مطلعين في شركات تشغيل الهواتف المحمولة. على وجه الخصوص ، في منتديات الهاكرز في Darknet ، هناك إعلانات جديدة مع عروض لاختراق برامج الرسائل الفورية المختلفة ، بما في ذلك Telegram.
"لقد صرّح الخبراء في مختلف البلدان ، بما في ذلك روسيا ، مرارًا وتكرارًا أنه يمكن اختراق شبكات التواصل الاجتماعي والخدمات المصرفية عبر الهاتف المحمول والرسائل الفورية باستخدام نقاط الضعف في بروتوكول SS7 ، لكن هذه كانت حالات معزولة للهجمات المستهدفة أو البحوث التجريبية" ، يعلق سيرجي لوبانين. ، رئيس قسم التحقيق في الجرائم الإلكترونية من Group-IB ، - في سلسلة من الحوادث الجديدة ، التي تتجاوز بالفعل أكثر من 10 ، من الواضح أن المهاجمين يريدون وضع هذه الطريقة في كسب المال. من أجل منع حدوث ذلك ، تحتاج إلى زيادة مستواك في النظافة الرقمية: على الأقل استخدام المصادقة ثنائية العوامل كلما كان ذلك ممكنًا ، وإضافة عامل ثانٍ إلزامي للرسائل النصية القصيرة ، والذي يتم تضمينه وظيفيًا في Telegram نفسها. "
كيف تحمي نفسك؟
1. لقد نفذت Telegram بالفعل جميع خيارات الأمن السيبراني الضرورية التي ستقلل من جهود المهاجم إلى لا شيء.
2. على أجهزة iOS و Android الخاصة بـ Telegram ، انتقل إلى إعدادات Telegram ، وحدد علامة التبويب "الخصوصية" وقم بتعيين "التحقق من كلمة المرور في السحاب \ التحقق من خطوتين" أو "التحقق بخطوتين". ويرد وصف مفصل لكيفية تمكين هذا الخيار في الإرشادات الموجودة على موقع المراسلة الرسمي:
telegram.org/blog/sessions-and-2-step-verification (https://telegram.org/blog/sessions-and-2-step-verification)
3. من المهم عدم تعيين عنوان بريد إلكتروني لاستعادة كلمة المرور هذه ، لأنه ، كقاعدة عامة ، يتم استرداد كلمة المرور للبريد الإلكتروني أيضًا عبر الرسائل القصيرة. وبالمثل ، يمكنك زيادة حماية حساب WhatsApp الخاص بك.