Несколько российских предпринимателей пожаловались на взлом их переписки в Telegram с помощью перехвата СМС с кодом авторизации. Об этом сообщается на сайте Group-IB, которая специализируется на предотвращении кибератак.
В Group-IB не стали уточнять число и имена предпринимателей, чьи аккаунты подверглись атакам.
Уязвимость обнаружили на iOS и Android и у разных операторов сотовой связи. Специалисты установили, что у всех пострадавших предпринимателей смс было выбрано единственным фактором авторизации.
Атаки прошли по одному сценарию — сначала пользователь получал сообщение от сервисного канала Telegram с кодом подтверждения, который он не запрашивал, затем на его смартфон приходило смс с кодом активации и почти сразу в сервисный канал Telegram приходило уведомление о входе в аккаунт с другого устройства.
В Group-IB считают, что злоумышленники заходили в чужие аккаунты с помощью мобильных телефонов, используя одноразовые сим-карты. Большинство IP-адресов, выполнивших атаки, находились в Самаре. При этом в ходе атаки техника жертв не была заражена вирусами или банковским трояном, их учетные записи не взламывали, а сим-карты не подменяли.
Group-IB обнаружила ряд объявлений о взломе Telegram на хакерских форумах в даркнете. Специалисты предполагают, что такие атаки могут совершаться с помощью нелегальных технических средств или инсайда в операторах сотовой связи.
Для защиты от подобных атак в Telegram специалисты посоветовали установить дополнительный фактор авторизации помимо СМС.