Ende 2019 wandten sich mehrere russische Unternehmer an die Cybercrime-Ermittlungsabteilung der Group-IB, die mit dem Problem des unbefugten Zugriffs unbekannter Personen auf ihre Korrespondenz im Telegramm-Messenger konfrontiert war. Die Vorfälle ereigneten sich auf iOS- und Android-Geräten, unabhängig davon, bei welchem ​​Kunden der Mobilfunkbetreiber des Bundes das Opfer war.
Der Angriff begann, als eine Nachricht an den Telegramm-Messenger vom Telegramm-Servicekanal (dies ist der offizielle Messenger-Kanal mit einem blauen Häkchen) mit einem Bestätigungscode gesendet wurde, den der Benutzer nicht angefordert hatte. Danach fiel eine SMS mit einem Aktivierungscode auf das Smartphone des Opfers - und fast sofort erhielt der Telegramm-Servicekanal eine Benachrichtigung, dass der Account von einem neuen Gerät aus angemeldet wurde.
In allen Fällen, von denen Group-IB Kenntnis hat, waren Angreifer über das mobile Internet bei einem anderen Konto angemeldet (sie verwendeten wahrscheinlich Einweg-SIM-Karten), und in den meisten Fällen war die IP-Adresse des Angreifers in Samara.
Zugang auf Bestellung
Eine Studie des Group-IB Computer Forensics Laboratory, bei der elektronische Geräte der Opfer übertragen wurden, ergab, dass die Geräte nicht mit Spyware oder einem Banktrojaner infiziert waren, die Konten nicht gehackt wurden und keine SIM-Karten ausgetauscht wurden. In allen Fällen erlangten die Angreifer mithilfe von SMS-Codes, die sie beim Eingeben des Kontos von einem neuen Gerät erhalten hatten, Zugriff auf den Messenger des Opfers.
Diese Prozedur ist wie folgt: Wenn der Messenger auf einem neuen Gerät aktiviert ist, sendet Telegramm den Code über den Dienstkanal an alle Benutzergeräte, und dann wird (auf Anfrage) eine SMS-Nachricht an das Telefon gesendet. In Kenntnis dessen veranlassen die Angreifer selbst eine Anforderung, eine SMS mit einem Aktivierungscode durch den Messenger zu senden, diese SMS abzufangen und den empfangenen Code für eine erfolgreiche Autorisierung im Messenger zu verwenden.
Auf diese Weise erhalten Angreifer illegalen Zugriff auf alle aktuellen Chats, mit Ausnahme der geheimen, sowie auf den Verlauf der Korrespondenz in diesen Chats, einschließlich der Dateien und Fotos, die an sie gesendet wurden. Sobald ein legitimer Telegrammbenutzer dies feststellt, kann er eine Angreifersitzung zwangsweise beenden. Dank des implementierten Schutzmechanismus kann das Gegenteil nicht geschehen. Ein Angreifer kann ältere Sitzungen des realen Benutzers nicht innerhalb von 24 Stunden abschließen. Daher ist es wichtig, eine fremde Sitzung rechtzeitig zu erkennen und abzuschließen, um nicht den Zugriff auf Ihr Konto zu verlieren. Group-IB-Spezialisten schickten eine Benachrichtigung an das Telegrammteam über ihre Untersuchung der Situation.
Die Untersuchung der Vorfälle wird fortgesetzt, und es ist derzeit nicht genau bekannt, nach welchem ​​Schema der SMS-Faktor umgangen wurde. Zu verschiedenen Zeiten gaben die Forscher Beispiele für das Abfangen von SMS an, indem sie Angriffe auf die in Mobilfunknetzen verwendeten SS7- oder Diameter-Protokolle verwendeten. Theoretisch können solche Angriffe mit dem illegalen Einsatz spezieller technischer Mittel oder von Insidern bei Mobilfunkbetreibern durchgeführt werden. Insbesondere in den Hackerforen in Darknet gibt es neue Ankündigungen mit Angeboten zum Hacken verschiedener Instant Messenger, einschließlich Telegramm.
"Experten in verschiedenen Ländern, einschließlich Russland, haben wiederholt festgestellt, dass soziale Netzwerke, Mobile Banking und Instant Messenger mithilfe von Sicherheitslücken im SS7-Protokoll gehackt werden können, dies waren jedoch Einzelfälle gezielter Angriffe oder experimenteller Untersuchungen", kommentiert Sergey Lupanin , Leiter der Abteilung für Cybercrime-Ermittlungen der Gruppe IB, - In einer Reihe neuer Vorfälle, die bereits mehr als zehn sind, möchten die Angreifer offensichtlich auf diese Weise Geld verdienen. Um dies zu verhindern, müssen Sie Ihre eigene digitale Hygiene verbessern: Verwenden Sie nach Möglichkeit mindestens die Zwei-Faktor-Authentifizierung und fügen Sie den obligatorischen zweiten Faktor zu SMS hinzu, der funktional in Telegram eingebettet ist.
Wie können Sie sich schützen?
1. Telegram hat bereits alle erforderlichen Cybersicherheitsoptionen implementiert, die die BemĂĽhungen des Angreifers zum Erliegen bringen.
2. Gehen Sie auf iOS- und Android-Geräten für Telegramm zu den Telegrammeinstellungen, wählen Sie die Registerkarte "Datenschutz" und weisen Sie "Cloud-Passwort \ Bestätigung in zwei Schritten" oder "Bestätigung in zwei Schritten" zu. Eine detaillierte Beschreibung zum Aktivieren dieser Option finden Sie in den Anweisungen auf der offiziellen Messenger-Website:
telegram.org/blog/sessions-and-2-step-verification (https://telegram.org/blog/sessions-and-2-step-verification)
3. Es ist wichtig, keine E-Mail-Adresse festzulegen, um dieses Kennwort wiederherzustellen, da die Kennwortwiederherstellung in E-Mails in der Regel auch per SMS erfolgt. Ebenso können Sie den Schutz Ihres WhatsApp-Kontos erhöhen.