zharkevich.ru
Снова о безопасности Telegram

Снова о безопасности Telegram

· 7 мин чтения

Несмотря на старания Роскомнадзора, Telegram по-прежнему остаётся в сфере интересов мошенников. Они продолжают взламывать аккаунты, чтобы выманить деньги. Сегодня, например, у тестя угнали учётку. Как это произошло, выяснить не удалось: тесть ничего внятного не рассказал, только отметил, что никаких кодов нигде не вводил. Тем не менее, я получил от него сегодня вот такое сообщение:

Привет, у тебя есть 50 тыс. ? Завтра ближе к вечеру верну.

Просьба показалась странной, поэтому я попросил супругу позвонить отцу. И сразу же выяснилось, что он не может зайти в аккаунт телеграма, его там разлогинило. Пытается зайти по номеру телефона — не получается. Потому что для этого нужно ввести код из SMS. А SMS на номер не приходит — спасибо РКН за заботу о нашей небезопасности. Ну а поскольку тесть не добавил альтернативный вариант входа через почту или ключи доступа (Passkey), то эту учётку можно считать потерянной безвозвратно.

Ситуация неприятная, потому что просьбу одолжить денег наверняка получил не только я, но и другие контакты тестя. Да ещё и его личные данные (паспорт, ФИО и другие) были в чате — он мне документы пересылал. Чат я, конечно, очистил, но нет гарантий, что взломщики уже не сохранили его содержимое.

Больше всего меня в этой ситуации тревожит непонятный вектор атаки. Тесть утверждает, что ничего не вводил и никуда не нажимал, но аккаунт-то угнали. Давайте разберёмся, как вообще такое происходит.

Как угоняют аккаунты

Способов увести чужой аккаунт хватает, и далеко не все из них требуют от жертвы осознанных действий.

Фишинг. Самый массовый вариант. Жертве приходит ссылка — в личном сообщении, в группе, через бота, — которая ведёт на поддельную страницу авторизации Telegram. Выглядит она почти неотличимо от настоящей. Человек вводит номер телефона, получает код, вводит и его — и всё, доступ у мошенников. Причём жертва зачастую даже не понимает, что произошло: ну ввёл код, ну страница подвисла — бывает. Отдельная разновидность фишинга — ссылки через Telegraph, встроенный инструмент Telegram для публикации статей. Пользователи видят знакомый домен с буквами «tg» и теряют бдительность.

Социальная инженерия. Классика: «Привет, случайно отправил код подтверждения на твой номер, перешли мне, пожалуйста». Или бот, который просит ввести код для «верификации аккаунта». Звучит примитивно, но работает на удивление часто — особенно с теми, кто не привык к подобным схемам.

Фишинг через QR-коды. Относительно свежий способ. Мошенники распространяют QR-коды — якобы для получения Telegram Premium или участия в розыгрыше. Жертва сканирует код, а тот открывает страницу, которая инициирует вход в аккаунт на устройстве злоумышленника. Telegram при этом показывает стандартный запрос на авторизацию, и пользователь жмёт «подтвердить», думая, что это что-то рутинное.

Вредоносное ПО. Если на телефоне стоит приложение из непроверенного источника (а иногда и из вполне официального магазина — бывает и такое), оно может перехватывать SMS или читать push-уведомления. Код приходит — приложение тут же пересылает его мошеннику. Пользователь при этом может вообще не заметить уведомления. В 2024 году, к слову, активность вредоносов, нацеленных именно на Telegram, заметно выросла.

Дубликат SIM-карты. Мошенники приходят в салон оператора связи с поддельной доверенностью и выпускают дубликат SIM-карты жертвы. После этого все SMS приходят им. Способ не самый простой — нужна как минимум подготовка документов, — но рабочий, особенно в регионах, где сотрудники салонов не слишком щепетильны в проверке. По статистике, количество таких атак за последние пару лет резко выросло.

Перехват SMS через уязвимость SS7. Протокол SS7, через который операторы связи обмениваются данными, имеет известную уязвимость, позволяющую перехватывать SMS. Метод дорогой и технически сложный, ради аккаунта обычного человека его вряд ли станут применять. Но знать о нём стоит — хотя бы для того, чтобы не полагаться на SMS как на единственный фактор защиты.

Какой из этих вариантов сработал в случае с тестем — я так и не выяснил. Списываю на любопытство в сочетании с невнимательностью: скорее всего, он куда-то что-то всё-таки ввёл, но признаваться не хочет. Так или иначе, главная проблема оказалась не в том, как мошенники добрались до аккаунта, а в том, что им ничто не помешало его забрать.

Почему аккаунт оказался беззащитен

У тестя в Telegram не был установлен облачный пароль. Это буквально база безопасности учётки в телеге. Облачный пароль запрашивается, когда действующий аккаунт Telegram активируют на новом устройстве или даже в другом Telegram-клиенте на этом же устройстве.

То есть если вы или кто-то захочет войти в ваш аккаунт с нового смартфона или с компьютера, у него запросят не только код, который приходит в Telegram или в SMS, но и вот этот самый облачный пароль. А поскольку знаете его только вы, никто посторонний не сможет активировать у себя ваш аккаунт и пользоваться им.

Тесть облачный пароль не установил, поэтому остался без аккаунта.

Кроме облачного пароля в Telegram есть и другие средства защиты учётки. Давайте рассмотрим их подробнее.

Как защитить аккаунт Telegram

  1. Установите облачный пароль. Настройки → Конфиденциальность → Облачный пароль. Введите пароль, который вы не забудете и который достаточно сложно подобрать. Не нужно вводить даты рождения, ни свои, ни своих близких. И вообще пароль из цифр — плохая идея. Не буду здесь рассказывать о том, как выбрать надёжный пароль, у меня про это есть отдельный пост.

  2. Добавьте почту для входа. Настройки → Конфиденциальность → Почта для входа. Это должен быть почтовый ящик на надёжном сервисе электронной почты. На него будут приходить коды для входа в Telegram, если вариант с получением SMS недоступен.

  3. Добавьте ключ доступа. Настройки → Конфиденциальность → Ключи доступа. Это те самые Passkey, про которые я совсем недавно рассказывал. Если коротко, то на устройстве создаётся ключевая пара — публичный и секретный ключ. Секретный ключ сохраняется в менеджере паролей на устройстве, а публичный — на серверах Telegram. В результате вы сможете восстановить аккаунт, даже если мошенники привяжут к нему другой телефон и другую почту. Разумеется, при условии, что облачный пароль установлен.

  4. Проверяйте активные сеансы. Настройки → Устройства. Там отображается список всех устройств, на которых залогинен ваш аккаунт. Видите что-то незнакомое — завершайте сеанс немедленно. Заведите привычку заглядывать туда хотя бы раз в месяц.

  5. Настройте автозавершение сеансов. В том же разделе Устройства можно задать срок автоматического завершения сеансов на неактивных устройствах. По умолчанию стоит 6 месяцев — есть смысл уменьшить до одного-трёх.

Базовая кибергигиена

  1. Не авторизуйтесь через Telegram на сомнительных ресурсах и тем более не вводите там код для входа. И никогда никому не сообщайте свой облачный пароль!

  2. Избегайте сомнительных Telegram-ботов, особенно тех, которые требуют код для входа. Часто такие боты предлагают незаконные услуги типа пробива или чего-то подобного. Не стоит рисковать, тем более если это противозаконно.

  3. Не устанавливайте неофициальные клиенты Telegram. Никаких «Telegram Plus», «Telegram Pro» и подобных сборок с дополнительными функциями. Как бы заманчиво ни звучала кастомная тема или скрытый статус прочтения — это не стоит риска потерять аккаунт.

  4. Не переходите по подозрительным ссылкам, даже если их прислал знакомый. Его аккаунт тоже могли угнать — собственно, как в истории с тестем. Прежде чем нажимать, подумайте: этот человек действительно мог вам такое прислать?

  5. Не сканируйте QR-коды из непроверенных источников. «Бесплатный Premium», «эксклюзивный розыгрыш» — всё это почти наверняка приманка. Если кто-то предлагает отсканировать код для получения чего-то ценного — это повод насторожиться, а не доставать камеру.

  6. Получили просьбу одолжить денег — позвоните. Не в мессенджере, а по телефону. Это самый простой способ проверить, действительно ли ваш знакомый просит в долг или кто-то рассылает сообщения с угнанного аккаунта.

  7. Следите за приложениями на телефоне. Не скачивайте APK из чатов и с незнакомых сайтов. Если приложение при установке просит доступ к SMS или уведомлениям без очевидной на то причины — стоит задуматься, зачем ему это нужно.

Вывод

Тесть потерял аккаунт из-за одного-единственного упущения — не установил облачный пароль. Один пароль, и вся эта история закончилась бы ничем: мошенники получили бы код, упёрлись бы в запрос пароля и ушли ни с чем.

Обидно, потому что настройка занимает минуту. Не нужно ничего покупать, скачивать, ни в чём разбираться. Зайдите в настройки, придумайте пароль, добавьте почту и ключ доступа. Три действия — и ваш аккаунт защищён на порядок лучше, чем у большинства.

Ну а если вдруг получите от знакомого просьбу одолжить денег — не поленитесь позвонить. Может оказаться, что в этот момент ваш знакомый безуспешно пытается вернуть себе доступ и понятия не имеет, что от его имени кто-то просит деньги.

Предыдущий пост
Наверх