Как я у вас телегу угнал

Фишинговые атаки

Самым популярным способом всегда был (и остается) фишинг. Злоумышленники чаще всего создают поддельный веб-сайт, имитирующий вход в Web-версию мессенджера.

Жертве достаточно верно ввести номер телефона, код. Казалось бы, при включенной двухфакторной аутентификации (телеграм называет этот функционал как «Облачный пароль») у злоумышленников ничего не получится, но умельцы научились имитировать и этот механизм защиты.

Тем не менее, если жертва введет правильный пароль, то на устройства с прошлыми сессиями попадет уведомление о новом входе.

В новой сессии, в сессии злоумышленника, такого сообщения не появится, поэтому скрыть его путем удаления не получится.

Помимо всего прочего, новая сессия появится во вкладке «Активные сеансы», что позволит быстро обнаружить злоумышленника и удалить его сессию.

У хакера же нет прав, чтобы завершить сессию, поэтому вас с устройства он прогнать не сможет.

Тем не менее, этот способ не самый практичный. Он, как говорят на языке пентестеров, «шумный» — оставляет много следов.

Sim Swapping

В ходе реализации этой атаки злоумышленники будут пытаться всеми правдами и неправдами попытаться узнать номер телефона, привязанный к вашему аккаунту Telegram, а затем перевыпустить сим-карту в салоне связи.

У этого способа есть множество минусов для злоумышленника:

• Нужен «свой» человек в салоне связи целевого оператора, либо поддельный договор, позволяющий вам перевыпускать сим-карты другого человека;
• Жертва сразу же узнает о том, что ее сим-карта была перевыпущена;
• Некоторые операторы блокируют получение СМС-сообщений с кодами доступа на перевыпущенные сим-карты в течение 3-5 дней.

Тем не менее, если есть спрос, то будет и предложение. В даркнете можно встретить услугу по перевыпуску сим-карты. Цена зависит от оператора сотовой связи и колеблется в пределах от 25 до 100 тысяч рублей за карту.

Впрочем, для особо ленивых злоумышленников есть и кража каналов «под ключ». Подробности услуги не раскрываются, но ценник может доходить и до суммы с шестью нолями.

Ох уж эта крипта

Такая проблема больше касается тех, кто ведет бизнес в телеграм. Думаю, не секрет, что большой канал может приносить приличные деньги путем продажи той же рекламы. В некоторых случаях осуществляется продажа и телеграм канала целиком. Оплату принимают всеми способами: наличные деньги, СБП, криптовалюта. Проблема кроется в том, что существует возможность отмены криптовалютной транзакции. Если очень просто, то там все устроено несколько иначе: транзакция не проходит сразу же, а идет буквально в несколько этапов.

Продавец может увидеть, что деньги были отправлены, передаст управление каналом, а злоумышленник отменит перевод. Как следствие, жертва останется и без канала и без денег.

О подобной особенности писали уже не раз и подробнее ознакомиться с ней можно вот тут:

• VC.RU Отмена транзакции;
• CISOCLUB Мошенничество с bitcoin-кошельками.

Кража сессионных файлов

Telegram имеет свои Cookie-файлы, они находятся в папке tdata. Если злоумышленник установит на ваше устройство вредоносное программное обеспечение, то он сможет скопировать содержимое этой папки на свой компьютер, что позволит ему зайти в ваш аккаунт. В таком случае никакая 2FA не спасет.

Рассмотрим на примере. Во-первых, для эксплуатации нам потребуется не обычный телеграм, а Telegram Portable. Скачать можно здесь.

Для простоты демонстрации я открыл четыре вкладки: две проводника, один Telegram (слева снизу) — обычный, с моим аккаунтом, второй Telegram (справа снизу) — Telegram Portable, именно в него будем копировать сессионные данные.

Перед началом эксплуатации отмечу, что у меня есть всего три сессии. Их количество не изменится.

Теперь закрываем процесс с Telegram Portable, а затем копируем всю папку tdata в папку с Telegram Portable. Обратите внимание, что папка tdata у Telegram Portable должна быть пуста.

Возможно, у вас будут возникать ошибки. В таком случае следует закрыть и оригинальный процесс Telegram.exe. Впрочем, можно воспользоваться механизмом Shadow Copy, чтобы обойти любые ограничения на одновременный доступ к ресурсам.

В моем случае Telegram Portable решил обновиться, поэтому я скопировал папку tdata еще и по пути в tupdates\temp.

При запуске Telegram Portable увидим измененное окошко! Причем оно запрашивает код-пароль (обратите внимание — это не облачный пароль, а обычный код-пароль, который регулирует доступ в приложение) — единственная мера защиты от подобной кражи сессионных файлов. Впрочем, если у вас простой пароль (или он вообще не установлен), то никаких лишних диалогов не появится.

После ввода пароля успешно попадем в аккаунт. Проверяем сессии и видим, что никакой новой сессии не появилось. Мы, фактически, используем одну и ту же сессию на разных приложениях (считайте, на разных устройствах).

Уязвимости Telegram

Наконец, не стоит забывать и про уязвимости в самом Telegram. Например, один исследовать информационной безопасности обнаружил уязвимость межсайтового скриптинга (XSS), эксплуатация которой позволяет:

1. Читать все сообщения пользователя, а также отправлять сообщения от его имени.
2. Полностью захватить учетную запись пользователя, например, отправив запрос на установку нового пароля.
3. Прочитать сообщения с кодами для входа в Telegram, которые приходят в приложение.

Подробный обзор уязвимости появился на Habre. К слову, за столь серьезную «дырку» было заплачено всего лишь 500 евро. Что же, у каждой компании свои приоритеты...

Предотвращаем похищение нашего аккаунта

Конечно, следует соблюдать обычные правила цифровой гигиены. Зачастую ничего большего никогда и не требуется.

• Используем 2FA;
• Ставим хороший облачный пароль;
• Не переходим по ссылкам от незнакомцев, ничего лишнего на компьютер не устанавливаем;
• Нигде не «светить» аккаунт, который является владельцем телеграм-канала.

Будьте в безопасности, и пусть ваша телега никогда не будет угнана!