- 31.01.23 09:19
- DigitalTatarstan
- #713816
- Хабрахабр
45
9600
Синдром любящей бабушки: почему в России все еще “угоняют” Telegram +16
В 2023 году кому‑то покажется странным, что надо объяснять необходимость установки двухфакторной аутентификации или дополнительных кодов‑паролей на личные устройства и мессенджеры. Но в конце прошлой недели в Татарстане «угнали» учетные записи нескольких десятков крупных руководителей компаний и чиновников, в том числе, в сфере IT. Как до этого дошло, рассказывают специалисты техподдержки ГАУ «ИТ‑парк».
Спокойный пятничный день подходил к концу, когда сразу нескольким нашим сотрудникам поступили звонки от сконфуженных коллег из разных организаций. Они просили выяснить, что за странные сообщения приходят им от коллег. Когда от людей, для которых такие суммы не актуальны, продолжили приходить сообщения с просьбой занять 20 тыс. рублей, мы поняли, что нужно обновить наш мануал.
Что происходит
Схема взлома в этот раз снова банальна: просьба проголосовать в конкурсе. Рассылка шла по контактам телефонной книги взломанного человека. Вы получаете сообщение от своего знакомого/друга/родственника, в котором содержится ссылка. Перейдя по ссылке для голосования (важно: почти всегда ссылка создана при помощи сервиса для сокращения ссылок), вы попадаете на страницу с сообщением «Войдите, чтобы участвовать в голосовании за участников конкурса» и полем для ввода телефона. Номер телефона нужен якобы для подтверждения уникальности голоса. После ввода номера открывается экран для ввода кода подтверждения, который «организаторы конкурса» якобы выслали вам в Telegram.
Если вы введете код, и у вас выключена двухфакторная авторизация Telegram, ваша учетная запись теперь принадлежит злоумышленникам. Они смогут привязать ее к другому телефону, использовать в дальнейшем в новых схемах, скачать данные переписок, потребовать от вас выкуп за возврат аккаунта и т. д. Учитывая факт, что многим нравится использовать мессенджер как файлообменник, очевидно, сколько всего интересного можно увидеть в телефоне. Через вас схема взлома продолжится теперь уже по вашей телефонной книге.
Почему происходит?
Как же произошло, что на банальный, и, казалось бы, очевидный развод повелось такое количество людей, в том числе, серьезных руководителей? Сложилось несколько факторов. Во‑первых, психологический. Если ссылка пришла от серьезного человека, десятки лет работающего в управлении и сфере IT, то мысли не поверить ему приходит, увы, не первой. Второй — психологический фактор. Просьбы проголосовать за конкурсы рисунков приходят тем, у кого есть дети и внуки, поэтому неудивительно, что ради них, не гнушаясь статусом, можно и перейти по ссылочке… В‑третьих, играет роль уже неактуальная вера в Telegram как самый надежный мессенджер, который невозможно прочитать. Так получаем огромное количество украденных учеток и подтверждение, того, что мы все еще живем в постсоветском обществе очень наивных людей. И никакие обзвоны службы безопасности «банков» и других тренеров цинизма не изменят открытые сердца и беззащитные аккаунты нашего населения.
Несмотря на то, что для ИТ‑парка спасение населения от киберугроз не является прямой обязанностью, работа техотдела на какое‑то время замерла. Мы были вынуждены обновить мануал по защите аккаунтов и в очередной раз разослать его не только сотрудникам (среди сотрудников ИТ‑парка, кстати, случаев взлома не было), но и коллегам из министерств, ведомств и компаний.
Что делать
Никогда не переходите по подобным ссылкам! Вас также могут попросить нажать на кнопку, предложить получить подарок и т. п. Если вы что‑то подозреваете, позвоните человеку и убедитесь, что это он, а не злоумышленник.
Отзовите доступ к своему аккаунту с других устройств. Запускаем Telegram, заходим в раздел «Настройки», в пункт «Конфиденциальность». Заходим в него и в разделе «Безопасность» находим пункт «Устройства». Там собраны все устройства, на которых выполнен вход в ваш аккаунт. Завершите все подозрительные сеансы. Важно: иногда завершить посторонние сессии не удается, возникает надпись с предложением завершить сеанс позже. В таком случае лучше удалить свой аккаунт и создать его заново.
Включите двухфакторную аутентификацию. На Android: откройте раздел «Настройки» — «Конфиденциальность», выберите опцию «Двухэтапная аутентификация» и включите ее. После этого придумайте пароль и нажмите «Готово». На Apple: раздел «Настройки» — «Конфиденциальность» и опция «Облачный пароль». Далее точно так же нужно придумать пароль и нажать «Готово».
Включите код‑пароль (и запомните его).
И перепроверяйте детей и внуков!
Разбирал один случай, который недавно произошел со знакомым. От его имени тоже пошла такая рассылка. Но сопоставляя время, когда он вводил код подтверждения (тоже какая-то якобы голосовалка) и время рассылки, пришёл к выводу, что они не просто разослали сообщения, а добавили по телефонной книге отложенные сообщения, а затем разлогинились из аккаунта, что затруднило поиск причины (по началу человек вообще не понимал, что происходит). В списке устройств был только один телефон.
Ого! Просчитывают всё на несколько шагов ????
А если еще удалить сообщения отправленные (только с одной, взломанной стороны) - то можно вообще не сразу обнаружить угон, а к моменту как он будет обнаружен, уже утащит за собой большое количество аккаунтов
сталкивался именно с таким поведением
Происходит рассылка по всем контактам, с взломанной стороны сообщения сразу удаляются. В устройствах только одно. То есть, бот создал отложенные сообщения и разлогинился.
При этом, спортивного интереса ради с ненужного аккаунта перешел по ссылке и прошел весь путь - ввод номера, ввод кода - попросили отключить двухфакторку, отключил - появилось второе устройство - меня выкинули - через пару недель с аккаунта пришла рассылка по контактам.
Похоже, выкидывают только из тех акков, кто являются владельцами каналов. В противном случае просто рассылка с целью набрать базу аккаунтов
Правило №0: Никому не доверяй. Особенно себе.
Эта тонкая грань с паранойей :)
"Даже если у вас нет паранойи, это не значит, что у вас не хотят угнать аккаунт."
"Мне можно" (Мюллер)
Я что-то не понял: человек переходит по ссылке, вводит свой номер телефона (информация по-определению ни разу не секретная) и «код подтверждения» (который вообще злоумышленники сами ему выслали), и этого достаточно, чтобы украсть аккаунт? Не пароль украсть, а уговорить ввести код, который они сами сгенерировали? Это как вообще? Поясните, как это работает, я просто ни разу не пользовался Телеграмом.
они не генерируют код. Они пытаются войти в аккаунт по номеру телефона. Код присылает telegram пользователю, а он передает мошенникам через сайт и готово)
Для входа в telegram пароль не нужен? Вводишь номер телефона, тебе по SMS приходит код, вводишь код?
Если двухфакторка выключена, то да: пароль является вторым фактором.
Сначала код приходит в самом телеграм, позже можно и через смс получить.
офигеть. 21 век на дворе. ИИ, нейросети, квантовое шифрование.
код из СМС. И доступ к акаунту.
это и удивляет!
Расписал подробнее
Пользователь пытаются войти в аккаунт по номеру телефона в фэйковой форме злоумышленника
Злоумышленик - пытается реально зайти в реальный телеграмм используя реальный номер предоставленный пользователем в фэйковой форме
Реальный телеграмм - посылает реальный код на твой телефон
Ты вводишь реальный код в фэйковую форму злоумышленника
Злоумышленик получает реальный код и вводит в реальный телеграмм(в п.2)
Злоумышленик получает доступ к аккаунту
Игрался так по такому-же сценарию в молодости. В поезде за соседним кресле разговаривали 2 девушки и одна попросила продиктовать телефон у другой (дело было вечером делать было нечего) и когда она диктовала вслух я быстро набирал и нажимал позвонить быстрее чем тот кому говорили, в итоге 2 из 3 разных попыток заметили подмену. а кому-то было достаточно факта звонка.
Да я понял, что это какой-то вариант старого развода, когда тебе приходит, к примеру, е-мэйл с адреса support@miсrosoft.com (на самом деле нет, но адрес отправителя, вроде, произвольный подставляется), в нём ссылка, ты заходишь по этой ссылке куда-то, там сайт, чуть более чем полностью похожий на сайт Microsoft (на адресную строку ты не смотришь), ты «логинишься» и сообщаешь им свой пароль. Меня «код подтверждения» смутил, я не понимаю всех этих новомодных фишек с регистрацией по номеру телефона и сто пятидесяти девятифакторным авторизациями.
Все равно не понимаю, кем надо быть, чтобы попасться. Да, ты вводишь свой номер телефона на фейковой форме и тебе пишут, что нужно ввести код.
Но код то присылает не бот, не сайт конкурса, а телеграм. Это блин то же самое, что СМС от банка - кто ее вводить будет если не собирается потратить денег?
Предположу, что "сайт конкурса" предлагает "авторизоваться через Телеграм", как и миллионы других сайтов, которые в качестве альтернативы отдельному логину/паролю предлагают вход через соцсети. И это кажется пользователю, привыкшему к таким сценариям, нормальным. А вот "вход через банк" нормальным не покажется (хотя... Сбер ID, вроде есть)
Это нормально, до тех пор пока код присылает бот конкурса, а не канал телеграма. Сбер ИД "это другое". Хотя меня напрягает и он (напрягал бы если бы я им пользовался) и окошко гугла вылезающее прямо из приложения, а не открывающееся в браузере. Блин, там даже адресную строку не посмотреть.
Телеграм и ему подобные программы для обмена сообщениями стали популярны именно благодаря отсутствию необходимости придумывать логин, пароль и иметь ящик электронной почты (ещё потому что контакты всасывались автоматически).
И тут вы предлагаете всё опять усложнить со своей двух факторной аутентификацией. Конечно на Хабре программисты поймут, но народ в массе - нет.
Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет. Поэтому они будут отказываться от этого до последнего и будут уговаривать пользователей сделать это добровольно.
Собственно по это причине пришлось начать отказываться от Яндексовской почты, так как зайти на десяток не очень важных аккаунтов теперь невозможно без привязки телефона. Ладно хоть сама почта по IMAP работать продолжает.
Двухфакторная аутентификация уже давно есть у каждого приличного мессенджера. Включая телеграм.
В мессенджерах просто факторы идут в другом порядке. Первый, обязательный - код из смс/in-app. Второй, опциональный - пароль.
В том и дело что второй опциональный и им народ в массе не пользуется. Автор статьи предлагает начать им пользоваться, но это невозможно, по указанным выше причинам.
Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет
Эээээ???
Это какой сейчас из мессенжеров позволяет заводить аккаунты без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс, только с логином и паролем? Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...
Видимо имеется ввиду, что каждый чих должен сопровождаться двухфакторной аутентификаций. К примеру авторизоваться в браузере можно по QR с телефона, причем в WA добавили бестолковую для меня функцию - запоминания сессии и теперь надо вручную выходить с каждого браузера...
Не стоить ограничиваться Гуглом, Яндексом и Майлру. Proton можно пользовать, например, у него нет привязки вообще ни к чему
Даже если не ограничиваться ими - один фиг, сплошь и рядом вводят привязку.
зы pop3/imap у протона тоже нет
Вам анонимность или поддержку клиентских протоколов?
Если хочется и то, и то - увы, на дворе 2023, а не 2010. Или купить vps за крипту и поднять на нем что душа пожелает - но это требования к знаниям и расход денег. Как говорится «если за сервис не платишь ты, значит, владельцы сервиса продают тебя». Да даже если и платишь…
А какие два фактора-то? Вроде всем популярным мессенджерам достаточно одного телефона в ваших руках. Даже доступ к смс попросят чтобы вы не утруждались вводом кода...
Так тут только один фактор - SMS ("То, чем ты владеешь")
Второго - например, пароля ("То, что ты помнишь") - почти ни у кого нет. У Телеграма опциональный, и у Сигнала, ЕМНИП, PIN обязателен...
Неделю назад устанавливал члену семьи мессенджер Wire — никаких телефонов и СМС, никакой обязательной двухфакторной чего-то там, логин-пароль, как в старые добрые времена.
В Скайпе тоже до сих пор не вижу ничего подобного — правда, аккаунт давно заводил, не знаю, можно ли сейчас так же завести, не оскоромившись, или уже нет?
Мессенджер Line (запрещённый в Российской Федерации) можно (было?) зарегистрировать не через номер телефона, а через аккаунт в Пейсбуке, который тоже можно (было?) зарегистрировать без телефона и СМС.
Jitsi, вроде, тоже никакого телефона не просил никогда, но тоже давно это было, не знаю, что сейчас.
Двухфакторная аутентификация это смс + пароль. Номер телефона это не секрет.
Matrix к примеру. Очень удобно, только логин и пароль, остальное опционально, можно не вводить.
Вы почему-то ставите знак равенства между смс и вторым фактором.
В том же Telegram смс это первый и единственный по умолчанию фактор. Второй фактор — это пароль, хранящийся в голове пользователя, но он опциональный и по умолчанию не используется.
Это как с бэкапами: до первого происшествия. Потом все начинают понимать.
Ого.. мы зашли по непонятной ссылке, ввели коды и свой номер телефона, а плох телеграм?) Ну штош.. логично.
Мы не обвиняем Telegram, а призываем к бдительности! ????
На сайтах есть авторизация через Телеграмм, она так и работает, надо ввести номер телефона и подтвердить в телеграмм. Только там всплывает окно от oauth.telegram.org, а на сайте злоумышленника с похожего домена похожее окно, не всегда смотришь в адресную строку, а вот то что пришел код, а не кнопки "отклонить","подтвердить" это уже настораживает, но не всех.
Отличный повод вспомнить про информационную гигиену.
В моем окружении вообще никто никому не пересылает мемасики, ссылочьки, картиночки, просьбочки помочь больным попугайчикам и прочий информационный мусор.
Исключение делается для престарелых тетушек, но там это все просто игнорируется.
Hidden text
У меня как-то некоторые товарищи баловались всякими опросиками. Каждый раз я интересовался, не взломали ли человека. После чего, когда выяснялось, что не взломали, человеку единожды выписывалось предупреждение, что если ещё хоть одна такая ссылка, и человек отправится в бессрочный бан. Кто-то понял, с кем-то по сей день не общаемся. Отучил своё окружение от рассылки всякого шлака. Теперь, если от кого что приходит подобное тому, что в статье, процентов на 99 можно быть уверенным, что человека взломали.
Есть люди, которым не нравятся всякие открыточки из ТикТока, когда им их шлют.
Но сами они такое рассылают.
¯ \ _ (ツ) _ / ¯ Старшее поколение. Гайки завинтить - очень жёстко получится, а это ближний круг. Игнорю, пока терпение есть.
Как обычно, единственная рекомендация - не сообщать коды из СМС?
Но ведь Телеграм, когда присылает код, явно пишет "не сообщайте его никому"...