Новы спосаб узлому акаўнта праз «афіцыйны смс ад самога Telegram»

Новая хваля фішынг-атак выкарыстоўвае ўразлівасць самой тэхналогіі SMS, прымушаючы карыстальнікаў верыць фэйкавым паведамленням, якія прыходзяць у адзін смс-дыялог з сапраўднымі кодамі ад Telegram. БАЖ распавядае пра чарговы кейс і дае парады, як абараніцца ад атакі. 

Скрыншот з SMS прылады Android – (Па-літоўску)«Гэты ўліковы запіс быў пазначаны як падазроны. Рашэнне: (небяспечная спасылка)»

Бяспека ў лічбавым свеце трымаецца на даверы да афіцыйных каналаў сувязі сервісаў. Аднак ашуканцы навучыліся гэты давер падрываць.

Асноўная небяспека новага метаду ў тым, што шкодная спасылка прыходзіць не з ананімнага нумара, не ад фэйкавага бота з дрэннай аватаркай, а ад адпраўніка з імем «Telegram» у той жа самы смс-дыялог з сервісам. Гэта прымушае нават пільных карыстальнікаў аслабіць увагу, перайсці па спасылцы, якая вядзе да страты акаўнта.

Крадзеж акаўнта Telegram 

Па спасылцы вас чакае прыгожы фірмовы дызайн Telegram і нават анімаваная класічная качачка. Але далей сайт патрабуе ўвесці поўныя даныя акаўнта: нумар тэлефона, код пацверджання, двухфактарны пароль (2FA) і нават пацвердзіць у акаўнце, што «Так, гэта я».

Скрыншот з сайта-падманкі

Як гэты фішынг працуе? 

Механізм атакі грунтуецца на тэхналогіі SMS Sender ID spoof­ing (падмена ідэнтыфікатара адпраўніка). Смартфоны групуюць паведамленні не паводле лічбавага нумара, а паводле тэкставага імя адпраўніка. Ашуканцы выкарыстоўваюць спецыяльныя SMS-шлюзы, каб адправіць паведамленне з імем «Telegram».

Ваш тэлефон, які бачыць нібыта знаёмае імя, аўтаматычна кладзе гэта паведамленне ў той жа чат, дзе вы звычайна атрымліваеце коды для ўваходу. Гэта стварае ідэальную ілюзію легітымнасці: ахвяра бачыць заклік да «праверкі бяспекі» адразу пад сапраўднымі сэрвіснымі паведамленнямі.

Як не стаць ахвярай фішынгу: парады эксперта

Каб абараніць свой акаўнт, журналісты і эксперты па бяспецы заклікаюць выконваць тры «залатыя» правілы:

• Прынцып Zero Trust (Нулявы давер) «нікому не давярай, заўсёды правярай»
• Не ўводзіць логін і пароль на вонкавых сервісах — самае важнае. Нават сам сервіс Telegram папярэджвае «Логін код выкарыстоўваецца толькі для ўваходу ў акаўнт. Нікому не перадавайце свой двухфактарны 2FA пароль і логін-код»
• Уключыце двухэтапную праверку (2FA). Нават калі ашуканцы даведаюцца ваш SMS-код, яны не змогуць увайсці ў акаўнт без вашага асабістага пароля.
• Аналізуйце спасылкі: Telegram заўсёды выкарыстоўвае толькі дамены telegram.org або t.me. Любыя варыяцыі накшталт telegram-support.com ці verify-tele.net — гэта 100% махлярства. Праверыць спасылку можна праз сервісы virustotal.com, URLScan.io, browserling.com. Калі сайту пару дзён або тыдняў ад нараджэння, то гэта 100% нагода яму не давяраць. 
• Ігнаруйце пагрозы: Афіцыйны Telegram ніколі не патрабуе «тэрміновай верыфікацыі» праз SMS пад пагрозай выдалення акаўнта. Усе сістэмныя паведамленні ад адміністрацыі прыходзяць у самім дадатку ў чаце са спецыяльным значком верыфікацыі.

Памятайце: ваша бяспека заканчваецца там, дзе пачынаецца спешка. Калі SMS выглядае тэрміновым — гэта першая прыкмета таго, што вас спрабуюць падмануць.