Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сообщила о ряде инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram на устройствах iOS и Android у клиентов разных операторов сотовой связи. Во всех случаях на устройствах пострадавших единственным фактором авторизации были СМС. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для авторизации используются только СМС.

В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.

Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.

Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре.

Специалисты Group-IB подчеркивают, в Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет, однако пользуются ими далеко не все. «Рекомендую как можно скорее установить в Telegram дополнительный фактор авторизации в виде пароля, помимо обязательной CМС, это важно сделать каждому, — заметил Сергей Никитин, заместитель руководителя Лаборатории компьютерной криминалистики Group-IB. — Далее необходимо проверить и другие приложения, а также сервисы, которые используют СМС-сообщения для авторизации как основной или второй фактор или же для восстановления пароля к электронной почте, социальным сетям, доступу к приложениям мобильного банкинга, для доставки одноразовых паролей».

В Group-IB предупредили, что подобная атака может быть успешна только в случае, если в настройках Telegram на смартфоне опция «Облачный пароль» или «Two step verification» не активированы. Именно поэтому на устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера.

Эксперты Group-IB добавили, что желательно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.

Исследование Лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.

Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит СМС-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером СМС с кодом активации, перехватывают это СМС и используют полученный код для успешной авторизации в мессенджере.

Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались. Обнаружив это, легальный пользователь Telegram может принудительно завершить сессию злоумышленника. Благодаря реализованному механизму защиты обратного произойти не может, злоумышленник не может завершить более старые сессии настоящего пользователя в течении 24 часов. Поэтому важно вовремя обнаружить постороннюю сессию и завершить её, чтобы не потерять доступ к аккаунту. Специалисты Group-IB направили уведомление команде Telegram о своем исследовании ситуации.

Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи. В частности, на хакерских форумах в Даркнете свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram.

«Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований, — прокомментировал Сергей Лупанин, руководитель отдела расследований киберпреступлений Group-IB, — В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того, чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную авторизацию везде, где возможно, и добавлять к СМС обязательный второй фактор, что функционально заложено в том же Telegram».