Информационно-аналитическое агентство безопасности бизнеса

Информационно-аналитическое агентство безопасности бизнеса

Взлом мессенджеров WhatsApp/Telegram

Теги:

IT защита

Актуальность данной темы подтверждается тем, что один из популярных запросов и вопросов — это что-то вроде «а как понять, что мой Вотсап/телеграм прослушивается? А что можно увидеть — только переписки или содержание звонков тоже? а как..а что….»

Так что в данном материале мы расскажем о том, что знаем и видели сами и о том, что можно публиковать. То, что является коммерческой тайной или закрытой информацией, мы публиковать не будем, конечно же.

Итак…что же такое этот страшный взлом ватсапа? В первую очередь хочется сказать, что в действительно взлом мессенджеров не связан со взломом инфраструктуры самого мессенджера. То есть это не означает, что злые суровые хакеры взломали сервера WhatsApp или личный компьютер Павла Дурова и взломали-таки все на свете!

Все варианты получения доступа к чужим аккаунтам связаны исключительно с получением паролей и sms-кодов для входа в интересующий аккаунт. То есть непосредственно сами абстрактные «сферические сервера в квадрате», на которых располагаются переписки, здесь не при чем.

Вы регистрируетесь в телеграме, вводите свой номер, получаете смс-код, подтверждаете таким образом владением номером и готово — вы зарегистрировались. Вы купили новый телефон, установили телеграм, ввели свой номер, ввели код — получили доступ к своим данным.

Вот именно на этом этапе получения и ввода кода сфокусировано основное внимание мошенников, взломщиков и всех тех, кто хочет получить доступ в ваш аккаунт. В случае с WhatsApp это и еще и QR-код для авторизации в настольную версию или в WhatsApp Web.

Так что рассмотрим варианты более подробно, а также предложим пути решения!

Итак, как мы уже сказали, взлом аккаунта всегда сопряжен с кражей смс-кода. Как же можно его украсть?

1 ) Изготовление поддельной доверенности и перевыпуск сим-карты в офисе оператора.

Все достаточно просто, сначала заказывается «пробив» ваших данных в базе оператора. Выясняют, что вы Иванов Петр Васильевич 1939 года рождения из Москвы. Далее злоумышленники находят человека, который придет в офис оператора и перевыпустит сим-карту. Обычно такие люди набираются из числа неблагонадежных и нуждающихся категорий — люди с зависимостями, долгами, тяжелым материальным положением. Такие люди на жаргоне называются «дропы». Изготавливается поддельная нотариальная доверенность о том, что вы, Петр Васильевич, уполномочиваете этого господина с долгами осуществлять любые действия от вашего имени с вашим номером. И вот, господин приходит в офис МТС, протягивает дрожащей рукой эту доверенность сотруднику салона связи, после чего получает новенькую сим-карту с вашим номером. Далее остается только заказать смс-код от мессенджера и дело в шляпе. Таким образом можно получить доступ к любому сервису, который привязан к вашему номеру. Хоть к телеграму, хоть к почте мейл ру (о взломе почтовых ящиков), хоть к сайту знакомств — неважно.

Да, безусловно, этот метод имеет существенные недостатки.

  • Во-первых, у вас у самого отвалится связь. Невозможно иметь две сим-карты на одном номере. Работать может только одна, более новая. Вы сразу это заметите. Но… если дроп будет из Владивостока, а вы из Москвы, то перевыпуск сим будет для вас ночью из-за существенной разницы в часовых поясах, и проблему вы заметите только утром. Таким образом у злоумышленников будет несколько часов для того, чтобы сделать все что нужно, прежде чем вы заблокируете новую сим-карту и восстановите себе номер.
  • Во-вторых, во все активные сессии вам придет уведомление о том, что в ваш аккаунт был осуществлен вход и т. д. и т.п. То есть вы это заметите. Особенно после прочтения данного материала. Вместе с этим хочется сказать, что есть огромный пласт людей, которые могут быть хорошими специалистами в своих областях, но ничего не понимать в технике и информационной безопасности. Они просто пропустят это «мимо ушей» со словами «вот опять эта дурацкая телега глючит» и продолжат жить дальше. Так же продолжит жить и доступ к аккаунту у злоумышленника. Такой доступ может сохраняться годами и позволит читать в режиме онлайн всю вашу переписку.

Несмотря на недостатки, описанный выше метод может привести к результату, а именно — информация украдена. Пускай с треском и шумом, но украдена. Все, бинго.

2 ) Второй вариант кражи смс-кода — это фишинг, социальная инженерия, обман, развод — называйте как хотите.

Вариантов масса, в качестве примера опишем самые популярные.

  • Платная подписка в подарок. Вам приходит сообщение, что кто-то из ваших контактов подарил вам подписку на Telegram Premium. Далее вы нажимаете на кнопку, чтобы получить подарок. Приходит код авторизации, вы его вводите, и ваш аккаунт оказывается у конкурентов.
  • Голосовалки Вам приходит сообщение с просьбой поддержать ребенка/собачку/песню/что угодно еще в каком-нибудь конкурсе. И ссылка на голосование. Далее, при входе на липовый сайт голосования, который может выглядеть очень солидно, вас просят для авторизации подтвердить номер вашего телефона. Вы вводите номер, вам приходит код, вводите его на поддельном сайте, ваш аккаунт открывается у злоумышленников.
  • Покупка рекламы Допустим, вы админ телеграм-канала, и вот — вам приходит запрос на размещение рекламы. После этого присылают ссылку для авторизации на какой-нибудь «партнерской площадке», вы вводите свой номер, чтобы якобы получить персональную ссылку, допустим, для вывода денег, и все то же самое, приходит код, вы его вводите, аккаунт взломан.
  • Поддельное уведомление о новом входе в аккаунт. Вам приходит сообщение о том, что в ваш аккаунт был осуществлен вход 5 минут назад из Зимбабве. И предостережение о том, что если это были не вы, то срочно следует пройти по ссылке и «авторизовать/защитить» аккаунт. Ну а там дальше дело техники, ссылка, ввода кода, угон аккаунта.

Это просто популярные примеры. Главное понять общую логику этой модели. Конкретные реализации зависят от фантазии и изобретательности злоумышленника. Когда работают по конкретному человеку, например, бизнесмену, то предварительно изучают его личность, интересы, круг общения. Ведь если бизнесмен продает валенки, а ему пришлют на согласование дизайн квартиры, то будет нелепо. Таким образом, фишинг может кастомизироваться и адаптироваться под конкретную жертву.

Как защититься?

Защита от атак подобного рода достаточно простая. Она заключается в запрете действий по доверенности. Данный запрет можно оформить в офисе вашего сотового оператора. После чего провернуть такую историю не получится. Вместе с этим, хотим отметить различные под-варианты реализации такой атаки, это может быть поддельная переносная базовая станция сотовой связи или же работа с вашим номером из терминала непосредственного самого оператора. Но это для тех, кто понимает, более детально вдаваться в детали не станем.

Вторая линия защиты — это установление двойной авторизации для входа в аккаунт. Это значит, что кроме смс-кода еще будет необходимо ввести второй фактор, второй код, который знаете только вы. Конечно, данный код не должен совпадать с вашим годом рождения и быть каким-то очевидным. Данную опцию можно активировать в настройках WhatsApp/Telegram, она называется там двухшаговая проверка и облачный пароль.

Так же необходимо помнить, что в том же Telegram можно сбросить 2FA через привязанную почту. И если злоумышленники перевыпустили сим-карту, а почта привязана к этому номеру, то моментально получается доступ к почте, а через почту сбрасывается 2FA. Поэтому следует обратить на этот момент так же свое внимание.

Кроме того единственным вариантом обойти защиту 2FA является все тот же фишинг. Пользователь сначала провоцируется на ввод первого кода для входа в аккаунт, а затем, если злоумышленники сталкиваются с активированным 2FA, то проталкивают пользователю на страницу второй этап — ввод и одноразового кода. В общем все то же самое.

Как проверить?

Что делать, если вы подозреваете, что ваш аккаунт украден или просматривается посторонними? В Telegram есть опция в настройках, раздел «устройства». Там следует внимательно изучить все сеансы на предмет незнакомых. Если вы увидите устройство, которого у вас нет или входы из другого региона и так далее, то следует завершить такие сеансы. То же самое можно сделать и в WhatsApp в разделе «Связанные устройства».

3 ) получение доступа к облачному хранилищу вашего смартфона iCloud/Google Drive.

Если вы синхронизируете данные и храните бекапы в облаке, то в случае взлома Apple ID можно скачать данные оттуда. Все, что вы копируете в облако будет доступно злоумышленникам. Многие синхронизируют мессенджеры с облачными хранилищами, но при этом отсутствует возможность сквозного шифрования непосредственных самих бекапов, загружаемых в облако. Достаточно длительное время данная проблема и уязвимость позволяла расшифровывать переписки из облачных бекапов смартфонов. Если говорить об Apple, то в начале 2020 года выяснилось, что Apple отказалась от планов по внедрению шифрования создаваемых пользователями резервных копий в iCloud. Apple, приняла такое решение после того, как ФБР пожаловалось, что данный шаг затруднит проведение будущих расследований. И только в конце 2022 года с выходом iOS 16 компания внедрила сквозное шифрование бекапов. НО только при условии, что вы активировали эту опцию в настройках iCloud.

Таким образом, это существенно повысит уровень безопасности данных, но по умолчанию это не используется, а значит 99 человек из 100 это специально не включат.

Методики взлома по данному сценарию атаки и лечения аналогичные предыдущим двум сценариям. Методики защиты логично проистекают из модели атаки — отключать облачную синхронизацию мессенджеров (особенно WhatsApp) и активировать сквозное шифрование iCloud.

Есть так же другие способы получения доступа, например, установка зловредного ПО на телефон владельца. Либо работа с телефоном с помощью криминалистического ПО. Впрочем, это требует физического доступа к девайсу, времени, знания кода разблокировки либо неактуальной модели телефона с уязвимостями и так далее. Чтобы разобраться во всех этих комбинациях моделей, прошивок, настроек понадобится не один день. Мы занимаемся этим уже много лет.

В сухом остатке важные моменты тезисно:

  • запрет действий по доверенности
  • 2FA везде (в облаке, в почте, в мессенджерах, везде где только можно ее включить)
  • отключение облачных бекапов для мессенджеров
  • актуальная модель iPhone и актуальная прошивка
  • внимательность

Таким образом, мы видим, что все векторы атаки направлены на человека, а не на саму инфраструктуру мессенджеров.

Назад

    Консультация

    Заказать звонок

    Пожалуйста, докажите, что вы человек, выбрав Флаг.

    Спасибо! Ваша заявка принята в работу

    Мы свяжемся с Вами в ближайшее время

      Заказать услугу

      Пожалуйста, докажите, что вы человек, выбрав Машину.