zhema
New member
Сотрудники фирмы Group-IB о взломах нескольких аккаунтов пользователей Telegram, где единственным способом аутентификации являлись SMS-сообщения. Эксперты сообщают, что жертвами взломов оказались владельцы как устройств на iOS, так и Android, которые являлись абонентами разных операторов связи.
Специалисты Group-IB зафиксировали инциденты, когда к ним обратилось несколько российских предпринимателей с жалобами на то, что третьи лица получили доступ к их чатам в Telegram. На первом этапе атаки жертва получала в Telegram сообщение от сервисного канала мессенджера с просьбой ввести код подтверждения, хотя жертва ничего не запрашивала. После этого приходило SMS-сообщения с кодом активации, и почти сразу же в аккаунт Telegram происходил вход с другого устройства.
Эксперты сообщили: «Во всех инцидентах, о которых знают Group-IB, киберпреступники входили в чужой профиль с помощью мобильного интернета (скорее всего, использовались одноразовые симки), а IP-адрес взломщиков в основном принадлежал Самаре».
В процессе анализа смартфонов, отданных Group-IB жертвами кибератак, какого-либо вредоносного или шпионского ПО найдено не было. Эксперты также не заметили следов компрометации аккаунтов или подмены SIM-карт. Во всех инцидентах злоумышленники получали доступ к профилю посредством SMS-кодов, полученных при авторизации в аккаунте на стороннем устройстве.
Как же осуществляется взлом.
При активации приложения на устройстве злоумышленника, Telegram присылает код через сервисный канал на все устройства пользователя, а потом уже (по запросу) – соответствующую SMS на смартфон. Взломщик инициирует запрос на отправку приложением SMS-кода, который в дальнейшем перехватывает и использует для авторизации в профиле жертвы. В итоге преступник может получить доступ ко всем имеющимся чатам (кроме секретных), истории переписки, а также к файлам и фотографиям.
Как киберпреступникам удалось обойти фактор SMS, эксперты пока не выяснили. Вполне возможно, что они эксплуатировали уязвимости в протоколах SS7 (ОКС-7) или Diameter, применяемых в сотовой связи.
Расследование этих событий продолжается.
Специалисты Group-IB зафиксировали инциденты, когда к ним обратилось несколько российских предпринимателей с жалобами на то, что третьи лица получили доступ к их чатам в Telegram. На первом этапе атаки жертва получала в Telegram сообщение от сервисного канала мессенджера с просьбой ввести код подтверждения, хотя жертва ничего не запрашивала. После этого приходило SMS-сообщения с кодом активации, и почти сразу же в аккаунт Telegram происходил вход с другого устройства.
Эксперты сообщили: «Во всех инцидентах, о которых знают Group-IB, киберпреступники входили в чужой профиль с помощью мобильного интернета (скорее всего, использовались одноразовые симки), а IP-адрес взломщиков в основном принадлежал Самаре».
В процессе анализа смартфонов, отданных Group-IB жертвами кибератак, какого-либо вредоносного или шпионского ПО найдено не было. Эксперты также не заметили следов компрометации аккаунтов или подмены SIM-карт. Во всех инцидентах злоумышленники получали доступ к профилю посредством SMS-кодов, полученных при авторизации в аккаунте на стороннем устройстве.
Как же осуществляется взлом.
При активации приложения на устройстве злоумышленника, Telegram присылает код через сервисный канал на все устройства пользователя, а потом уже (по запросу) – соответствующую SMS на смартфон. Взломщик инициирует запрос на отправку приложением SMS-кода, который в дальнейшем перехватывает и использует для авторизации в профиле жертвы. В итоге преступник может получить доступ ко всем имеющимся чатам (кроме секретных), истории переписки, а также к файлам и фотографиям.
Как киберпреступникам удалось обойти фактор SMS, эксперты пока не выяснили. Вполне возможно, что они эксплуатировали уязвимости в протоколах SS7 (ОКС-7) или Diameter, применяемых в сотовой связи.
Расследование этих событий продолжается.