Массовый взлом Telegram

10.03.2018

Сегодня прокатилась новость о попытках взлома, местами успешным, Telegram каналов. Я расскажу как именно можно взломать аккаунт и как защититься от этого.Массовый взлом Telegram

Неизвестные взломали телеграм операционного директора медиаартели «Мамихлапинатана» Залины Маршенкуловой. Злоумышленники «угнали» личный канал журналистки «Женская власть» (около 15 тысяч подписчиков), а также канал её издания Breaking Mad. По словам журналистки, на её учётной записи была активирована двойная аутентификация, при которой для подключения необходимы не только номер телефона и код из SMS-сообщения, но и отдельный пароль. В техподдержке Telegram на момент написания заметки не ответили на её запрос.
Владельцы Telegram-каналов «Беспощадный пиарщик» (более 31 тысячи подписчиков) и «Кремлёвский мамковед» (более 32 тысяч подписчиков) сообщили, что их учётные записи также пытались взломать с помощью фишинговых сообщений «с левых аккаунтов, замаскированных под официального помощника Telegram». Маршенкулова рассказала TJ, что не переходила по ссылкам, которые опубликовали авторы этих каналов. (с) TJournal

Меня очень рассмешил пост канала, которого пытались взломать:

На данный момент мы не уверены, что наши аккаунты защищены в должной мере. Бреши в системе защиты безусловно есть и их нельзя скрывать от телеграм-сообщества. Также имеем ряд вопросов непосредственно к тех. поддержке и непосредственно @Durov. 

Легче спихнуть все на несовершенство системы безопасности Telegram, нежели на свою собственную некомпетентность. Ну и хайпануть в СМИ конечно. Имеют они ряд вопросов к Дурову... :)

Давайте рассмотрим все реально возможные способы взлома аккаунта. В конце вы поймете, что успешный взлом зависит только от того насколько вы подкованы.

Защита Telegram

Чтобы понять как могут совершить взлом, нужно понять с какой защитой и какими сложностями может столкнуться злоумышленник.

ДФА

Представим, что у нас аккаунт защищен двухфакторной авторизацией. В Telegram двухфакторная авторизация работает следующим образом: указывается пароль и почта для восстановления этого пароля (по желанию). Теперь при авторизации, когда ты указал номер телефона и пароль с СМС, Telegram запросит пароль ДФА. Если ты его забыл - есть возможность его восстановить, используя почту что ты указывал. В противном случае - вход в аккаунт невозможен.

СМС авторизация

После ввода номера телефона, приходит СМС с кодом, который нужно ввести.

Но тут есть один очень важный нюанс. Если вы уже авторизованы в Телеграмме, например на ПК, то при попытке авторизации на телефоне, СМС код придет вам непосредственно в клиент Телеграмма на ПК. Это очень важный момент, о нем поговорим позднее.

И так, какие нужны данные, чтобы зайти в ваш аккаунт?

  • Знать номер телефона
  • Получить смс с кодом
  • Знать пароль от ДФА

Способы получить нужные данные для взлома

Фишинг

Самый популярный и распространненный способ.

Фишинг - один из самых простых способов заполучить персональные данные пользователя. Суть метода заключается в том, чтобы, направив жертву на фэйковый сайт, который один в один похож на настоящий, и заставить её ввести туда свои персональные данные.

Ниже вы видите скриншот сообщения, якобы от Telegram, который содержит ссылку на фишинговую страницу. Не стоит пытаться перепечать и перейти по ней.

Пример сообщения, содержащего фишинг
Пример сообщения, содержащего фишинг

В данном случае, злоумышленник надеется на ваше безрассудство. Внимательно проверяйте от кого пришло сообщение, а не тыкайте куда попало.

Что мы можем с помощью этого получить?

  • Узнать номер телефона
  • Узнать пароль от ДФА

Дубликат SIM-карты

Данный способ более заморочен и нужен уже когда известен номер телефона. Злоумышленнику нужно только узнать номер телефона привязанный к каналу. После создается дубликат SIM карты и производится вход. SMS с кодом подтверждения естественно придет ему так же.

Я подробно писал раньше про данный способ. Можете ознакомиться:

Что мы можем с помощью этого получить?

  • СМС код для авторизации

Кейлогеры и стиллеры

Кейлогер – это программное обеспечение или аппаратное устройство, которое предназначено для записи нажатий клавиатуры, а также движений и нажатий мышь. Дополнительно кейлогеры могут записывать дату и время нажатия, а также делать снимки и видеозаписи экрана. Также есть возможность копировать данные из буфера обмена.
Стилер (от английского to steal, воровать) — определенный класс троянов (малвари, вирусов - как хотите), функционал которых полностью состоит из кражи сохраненных в системе паролей и отправка их "автору".

Подробнее про кейлогеры и стилеры можешь прочитать в моей статье:

Кейлогеры и стилеры

Зачастую пароли хранятся прямо на рабочем столе в файле "СИКРЕТНА". Стилер как раз нам поможет. В помощью стилера можно выкачать файлы по ключевым словам, либо расширению файла (например .txt).

С помощью кейлогера можно перехватить ввод любого текста ,в том числе паролей. Кейлогер нам поможет получить доступ к почте, которая была указана для восстановления ДФА пароля.

Кстати, хочу привести тебе пример, как можно успешно заразить вирусом человека с помощью Социальной инжерении.

Представим, что ты гуляешь по улице. Побегает парнишка с фотоапаратом и просит разрешения отфоткать такую прекрасную персону. Он только что купил фотик, на который долго копил и весь на радостях. Вы так хорошо смотритесь на фоне этого бордюра, что он хочет именно вашим лицом лишить девственности свой фотоаппарат.

"Нет, нет! Денег не надо", - говорит парниша и делает пару снимков. В конце он просит дать вам свою почту, чтобы скинуть фотки. Вы получаете письмо и фото в архиве, скленным со стиллером.

Способов заразить очень много, как оффлайн, так и только онлайн. В примере выше вас не только заразили, но и узнали почту, а мы уже знаем что почта нам очень нужна чтобы восстановить ДФА.

Что мы можем с помощью этого получить?

  • ДФА код.
  • Почту
  • Какие либо другие приватные данные. Например, если жертва поймет что как-то узнали ДФА пароль, и решит его сменить. Но ведь на ПК стоит кейлогер, а значит мы получим новые свежие данные.

RAT

RAT может инициировать новые сессии удаленного рабочего стола, делать снимки экрана жертвы, запускать и останавливать процессы в целевой системе, искать, скачивать, загружать вовне или выполнять произвольные файлы. Все собранные данные малварь отправляет на удаленный управляющий сервер, где они доступны через веб-панель.

RAT - это более продвинутая версия того же кейллогера и стилера, если можно так выразится. Но конечно это совершенно другой продукт. Тут нет ограничений по возможностям, потому что вы можете управлять ПК будто это ваш. Вы имеете доступ ко всем файлам, вебкамере, можете управлять мышкой и вводить данные с клавиатуры, можете даже открыть дисковод, если таковой имеется.

Что мы можем с помощью этого получить?

Впринципе тоже самое, что и при использовании кейлогера и стилера, но за одним большим дополнением. Например, жертва постоянно авторизована в почте и не вводит каждый раз пароль. Вы можете выбить авторизацию, чтобы иницировать его новую авторизацию, либо просто своровать куки. Можно увидеть полезную приватную информацию, которая выводится на экран, аля диалоги, либо что-то еще.

Но самое главное - это получить смс код авторизации, который приходит на активный клиент Telegram.

Перехват смс

Как мы разбирали в статьях ранее, смс можно перехватить несколькими способами. Один из распространненых это своя фемтосота.

Это такая небольшая штучка, настраиваемая сота, которая работает через интернет. Она раздает покрытие там, где нереально его получить, допустим подвал.

Представим что в пивбаре, в подвале, стоит такая сота. Соотвественно там связь не ловит, а все телефоны которые находятся в подвале, будут подключатся к ней, без вашего разрешения, а подключатся они будут к ней потому что она раздает сильный сигнал. А структура связи такая, что телефон будет подключатся к той соте, у которой сигнал выше. И если владелец этой фемтосоты, окажется мошенником, он настроит ее так, чтоб можно было читать ваши смс, перехватывать звонки, и даже перехватить смс на фемтосоте, но до вас она не дойдет. К примеру, оповещение из банка...ну или как в нашем случае - код авторизации Telegram.

Подведем итоги

В самом начале мы составили список данных, которые нужны для успешного взлома:

  • Знать номер телефона
  • Получить смс с кодом
  • Знать пароль от ДФА

Теперь пробежимся по нему и приведем реализацию получения исходя из того чему мы сегодня научились.

  • Знать номер телефона.

Вариант 1. Фишинг

Вариант 2. Вас много кто знает и вы используете один номер для всего

Вариант 3. RAT

2. Получить смс с кодом

Вариант 1. RAT.

Вариант 2. Дубликат сим-карты

Вариант 3. Перехват смс

3. Знать пароль от ДФА

Вариант 1. Фишинг

Вариант 2. RAT

Вариант 3. Кейлогер или стилер

Итог

Мы быстро пробежались по возможным реализациям атаки на аккаунт Telegram. Что мы видим? Жертва может говорить, что у нее все было включено ДФА и по ссылкам не переходил. Но как мы поняли, это не значит 100% защиты. Ссылку на архив с фото человек может и не вспомнить, а ДФА не панацея.

Поэтому - будьте всегда начеку.

Советы

  • Не используйте свой номер телефона для важных аккаунтов. Купите симку на родственника. Почему на родственника? Можно пробить какими номерами владеете вы и восстановить. Поэтому номер телефона не должен быть связан с вами
  • Будьте внимательны при получении ссылок, документов, файлов от незнакомых контактов.
  • Не храните пароли или важные данные в текстовиках на ПК или телефоне.

Источник: http://telegra.ph/telegram-channel-03-01