Международная компания Group-IB, специализирующаяся на предотвращении кибератак, сообщила о ряде инцидентов, связанных с получением нелегального доступа к содержимому переписки в Telegram. Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые sim-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре.

Как уточняют в компании, атаке подверглись устройства на платформах iOS и Android у клиентов разных операторов сотовой связи. Она начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, которого пользователь не запрашивал. После этого на смартфон жертвы падало SMS с кодом активации - и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.

"Во всех случаях на устройствах пострадавших единственным фактором аутентификации были SMS. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для аутентификации используются только SMS", - уточняют в Group-IB.

Исследование лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены sim-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью SMS-кодов, получаемых при входе в аккаунт с нового устройства.

Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит SMS-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером SMS с кодом активации, перехватывают это SMS и используют полученный код для успешной аутентификации в мессенджере.

"Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований. В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную авторизацию везде, где возможно, и добавлять к SMS обязательный второй фактор, что функционально заложено в том же Telegram", - считает руководитель отдела расследований Group-IB Сергей Лупанин.