Компания Group-IB, специализирующаяся на информационной безопасности, сообщила о случаях получения нелегального доступа к содержимому переписки в Telegram. При этом доступ был получен к перепискам как пользователей iOS, так и Android, а также у клиентов разных операторов сотовой связи. Объединяет случаи то, что на взломанных устройствах единственным фактором авторизации были СМС, сообщили в компании.
Как пояснили эксперты, в конце 2019 года к ним обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на iOS и Android, вне зависимости от используемого оператора связи.
«Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства», — сообщили в Group-IB.
Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет, а IP-адрес атакующих в большинстве случаев находился в Самаре. Как пояснили эксперты, вероятнее всего для взлома использовались одноразовые SIM-карты.
В компании обратили внимание на то, что во всех случаях единственным фактором авторизации на устройствах пострадавших от попытки взлома были SMS-сообщения. Соответственно подобная атака может быть успешна только в случае, если в настройках Telegram на смартфоне опция «Облачный пароль» или «Two step verification» не активированы.
Как именно хакеры перехватывают SMS-сообщения с кодом авторизации на устройстве владельца аккаунта, специалисты Group-IB не уточнили. Не исключено, что для достижения поставленной цели злоумышленники проводили атаки на протоколы SS7 и Diameter, используемые в сотовых сетях.
«Теоретически подобные атаки могут быть реализoваны с нелегальным испoльзованием специальных технических средств или инсайда в oператорах сотовой связи», – отметили в компании.
После обнаружения уязвимостей представители Group-IB направили уведомление команде Telegram о своем исследовании ситуации.
В компании также призвали пользователей установить в Telegram дополнительный фактор авторизации в виде пароля. Отмечается, что взлом аккаунтов в Telegram методом перехвата SMS-сообщения с кодом доступа, которому подверглись российские предприниматели, после активации двойной аутентификации станет невозможным.