Fin 2019, plusieurs entrepreneurs russes se sont tournés vers le service d'enquête sur la cybercriminalité du Groupe IB, qui a été confronté au problème de l'accès non autorisé par des inconnus à leur correspondance dans le messager Telegram. Les incidents se sont produits sur des appareils iOS et Android, quel que soit le client dont l'opérateur mobile fédéral a été victime.
L'attaque a commencé lorsqu'un message a été envoyé au messager Telegram depuis le canal de service Telegram (c'est le canal messager officiel avec une coche de vérification bleue) avec un code de confirmation que l'utilisateur n'a pas demandé. Après cela, un SMS avec un code d'activation est tombé sur le smartphone de la victime - et presque immédiatement, une notification est venue sur le canal de service Telegram que le compte était connecté depuis un nouvel appareil.
Dans tous les cas dont Group-IB a connaissance, les attaquants se sont connectés au compte d'une autre personne via Internet mobile (ils ont probablement utilisé des cartes SIM jetables), et dans la plupart des cas, l'adresse IP des attaquants était à Samara.
Accès par commande
Une étude du laboratoire de criminalistique informatique du Groupe IB, où les appareils électroniques des victimes ont été transférés, a montré que l'équipement n'était pas infecté par des logiciels espions ou un cheval de Troie bancaire, que les comptes n'étaient pas piratés et qu'aucune carte SIM n'était remplacée. Dans tous les cas, les attaquants ont eu accès au messager de la victime à l'aide des codes SMS reçus lors de la saisie du compte depuis un nouvel appareil.
Cette procédure est la suivante: lorsque le messager est activé sur un nouvel appareil, Telegram envoie le code via le canal de service à tous les appareils utilisateurs, puis (sur demande) un SMS est envoyé au téléphone. Sachant cela, les attaquants eux-mêmes lancent une demande d'envoi d'un SMS avec un code d'activation par le messager, interceptent ce SMS et utilisent le code reçu pour une autorisation réussie dans le messager.
Ainsi, les attaquants ont un accès illégal à toutes les conversations en cours, à l'exception des conversations secrètes, ainsi qu'à l'historique de la correspondance dans ces conversations, y compris les fichiers et les photos qui leur ont été envoyés. En découvrant cela, un utilisateur légitime de Telegram peut forcer la fin d'une session de pirate. Grâce au mécanisme de protection mis en place, l'inverse ne peut pas se produire, un attaquant ne peut pas terminer des sessions plus anciennes de l'utilisateur réel dans les 24 heures. Par conséquent, il est important de détecter une session étrangère à temps et de la terminer afin de ne pas perdre l'accès à votre compte. Les spécialistes du Groupe IB ont envoyé une notification à l'équipe Telegram concernant leur étude de la situation.
L'enquête sur les incidents se poursuit et, pour le moment, il n'est pas précisément établi quel système a été utilisé pour contourner le facteur SMS. À différents moments, les chercheurs ont donné des exemples d'interception de SMS utilisant des attaques contre les protocoles SS7 ou Diameter utilisés dans les réseaux mobiles. Théoriquement, de telles attaques peuvent être mises en œuvre avec l'utilisation illégale de moyens techniques spéciaux ou d'initiés chez les opérateurs mobiles. En particulier, sur les forums de pirates de Darknet, il y a de nouvelles annonces avec des offres pour pirater divers messagers instantanés, y compris Telegram.
«Des experts de différents pays, dont la Russie, ont déclaré à plusieurs reprises que les réseaux sociaux, les services bancaires mobiles et les messageries instantanées pouvaient être piratés à l'aide de vulnérabilités dans le protocole SS7, mais il s'agissait de cas isolés d'attaques ciblées ou de recherches expérimentales», commente Sergey Lupanin , Chef du département d'enquêtes sur la cybercriminalité du groupe IB, - Dans une série de nouveaux incidents, qui sont déjà plus de 10, les attaquants veulent évidemment mettre cette façon de gagner de l'argent. Pour éviter que cela ne se produise, vous devez augmenter votre propre niveau d'hygiène numérique: utilisez au moins l'authentification à deux facteurs dans la mesure du possible et ajoutez un deuxième facteur obligatoire au SMS, qui est fonctionnellement intégré dans Telegram lui-même. »
Comment se protéger?
1. Telegram a déjà mis en œuvre toutes les options de cybersécurité nécessaires qui réduiront à néant les efforts de l'attaquant.
2. Sur les appareils iOS et Android pour Telegram, accédez aux paramètres du Telegram, sélectionnez l'onglet «Confidentialité» et attribuez «Mot de passe cloud \ Vérification en deux étapes» ou «Vérification en deux étapes». Une description détaillée de la façon d'activer cette option est donnée dans les instructions sur le site officiel de Messenger:
telegram.org/blog/sessions-and-2-step-verification (https://telegram.org/blog/sessions-and-2-step-verification)
3. Il est important de ne pas définir d'adresse e-mail pour restaurer ce mot de passe, car, en règle générale, la récupération du mot de passe par e-mail s'effectue également par SMS. De même, vous pouvez augmenter la protection de votre compte WhatsApp.