если на телеграмм пришло сообщение что ктото входил в аккаунт
Что делать, если мой профиль взломали в Телеграм?
Телеграм считается одним из самых безопасных мессенджеров. Он обеспечивает абсолютную неприкосновенность данных за счет облачного хранилища, а переписка и звонки защищены несколькими протоколами шифрования, в том числе, сквозным E2E.
При входе в учетную запись пользователя предусмотрена двухэтапная авторизация. Но что делать, если доступ к вашему аккаунту всё же оказался в руках злоумышленников?
Рассказываем, как поступить, если ваш профиль в Телеграм взломали.
Разработчики приложения позаботились о безопасности своих пользователей. Telegram оповещает каждый раз, если вход в систему совершён с иного устройства, нежели обычно.
Если вы получили сообщение с данными об активации учётной записи на смартфоне или ПК с другим IP адресом и местоположением, но сами к этому не причастны – вашим профилем кто-то пользуется.
Какие действия предпринять при взломе
Первое, что нужно сделать – зайти в меню “Настройки”, выбрать “Конфиденциальность”, тапнуть на “Активные сеансы” и отключить все устройства, вам не принадлежащие. Это перекроет доступ к аккаунту постороннему пользователю.
В этой же вкладке можно получить информацию о том, когда, откуда и с какого гаджета был совершён вход в систему.
Проверьте, кто мог воспользоваться вашим смартфоном. Вход в Telegram возможен только при наличии возможности ввода SMS-кода, отправленного на ваш номер телефона.
Возможно, вы открывали приложение на сторонних устройствах и забыли из него выйти. В таком случае, проблема решается закрытием активных сессий.
Ещё один способ восстановить нормальную работу учётной записи – обратиться в службу поддержки Telegram, написав Support Team на официальном сайте www.telegram.org/support:
Если вы используете мобильное приложение:
В меню мессенджера существует раздел FAQ – попробуйте отыскать советы для решения сложившейся ситуации среди часто задаваемых вопросов.
Как избежать атаки и обезопасить себя
Достаточно придерживаться нескольких правил:
Хотя Telegram и считается безопасным мессенджером, его использование не даёт 100% гарантии от взлома. Старайтесь максимально защитить свой аккаунт самостоятельно.
При уже произошедшей атаке злоумышленников важно отреагировать оперативно, предприняв необходимые меры по перекрытию доступа и восстановлению профиля.
Group-IB рассказала о случаях взлома аккаунтов в Telegram при помощи перехвата SMS с кодом авторизации Статьи редакции
Таким способом злоумышленники могут получить доступ и к другим мессенджерам и сервисам без дополнительной защиты.
Злоумышленники могут получить доступ к переписке в Telegram, используя перехваченные SMS-коды, которые приходят пользователю при входе в аккаунт с нового устройства. Это выяснили специалисты по кибербезопасности российской Group-IB.
С проблемой несанкционированного доступа к переписке столкнулись несколько российских предпринимателей, они обратились в Group-IB за помощью, рассказали в компании. Пострадавшие пользовались устройствами на Android и iOS и были клиентами разных операторов связи.
Во всех случаях на устройствах пострадавших единственным фактором авторизации были SMS. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для авторизации используются только SMS.
Во всех случаях, о которых известно Group-IB, злоумышленники входили в чужие аккаунты через мобильный интернет в Самаре. Компания нашла на хакерских форумах несколько объявлений о продаже доступа к разным мессенджерам. В одном из объявлений неизвестный обещает, что за 100 тысяч рублей покупатель через два-четыре дня сможет в режиме реального времени увидеть всю переписку человека в WhatsApp, Telegram или Viber.
Для защиты Group-IB рекомендует установить двухфакторную верификацию или пароль в дополнение к обязательной SMS в Telegram и других сервисах.
Новый вид спама в Telegram? Сообщения приходят от самого мессенджера
Привет, TJ! В последние 2 дня мне в Telegram приходят сообщения от технического аккаунта самого мессенджера (профиль с галочкой, номер +42777) с информацией о том, что через мой аккаунт пытаются авторизоваться на сомнительных сервисах.
Вчера это был какой-то клон сервиса по пробиву:
Сегодня через мой аккаунт якобы пытались авторизоваться на другом сайте. Открыв ссылку я узнал, что попал на приветственную страницу на сайте букмекера.
Через сервис Whois я узнал, что сайты, указанные в сообщениях, были зарегистрированы вчера и сегодня соответственно. В первом случае название «сайта» соответствовало содержимому, во втором — нет.
Это навело меня на мысль, что, скорее всего, это массовая регистрация доменов для рассылки спама. Потому что при переходе по обоим ссылкам было рекламное содержание, а не страница авторизации.
Получается, кто-то имитирует процесс авторизации через Telegram для рассылки спама от самого официального аккаунта Telegram?
Самое странное — данные сообщения затем пропадали из «чата» с Telegram. Первое продержалось около 8 часов, второе было удалено спустя несколько минут. Я их точно не удалял. Значит ли это, что Telegram сам удаляет свои технические уведомления? Можно понять это, если цель таких действий — остановить распространение спама, чтобы пользователи не переходили по сомнительным ссылкам. Но лично мне, как пользователю, уже успевшему прочитать сообщение, такая практика максимально некомфортна — например, теперь я не могу посмотреть, нажал я «Отклонить» или «Принять».
Написал по этому поводу в поддержку Telegram дважды 24 часа назад (заполнил форму на сайте и написал в чат Volunteer Support — на момент написания заметки ответа не было.
Кто-нибудь уже сталкивался с такой же проблемой?
Дыры в безопасности телеграм. Как тебя могут пробить и меры предосторожности
Вот пример подобных ботов для пробива
@getmyid_bot (пробивает ID по пересланному сообщению)
@deanonym_bot (пробивает номер телефона по ID, используя ту самую слитую базу).
Иными словами, если ваш номер в базе, то нужно беречь ID как зеницу ока.
Собственно, как инфа о сливе начала распространяться, телеграм принял меры против этого.
Во-первых, всем было предложено сменить никнейм, если он ставился до осени 19 года.
Во-вторых, в настройках конфиденциальности появилась возможность запрещать находить номер телефона, если отсутствуют взаимные контакты.
В общем, предложили выкрутить настройки конфиденциальности на максимум, сменить никнейм и жить спокойно.
Но было бы слишком если так.
Недавно появились боты, которые дают возможность ID по никнейму, даже если он был сменен после 2019 года, да хоть вы никнейм поставили минуту назад.
Суть в том, что эти боты используют уязвимость протокола телеги, которая дает возможность напрямую получать ID, если известен никнейм пользователя. А зная ID, как уже говорилось выше, можно получить и все остальное.
Вот пример ботов, которые делают подобное:
@CheckID_AIDbot (пробивает ID по никнейму вне зависимости от того был он в базе или нет).
Ну и вишенка на торте.
Бот со звучным названием «Глаз бога»
@EyeGodsBot
В нем совмещены функции двух ботов выше + кроме пробива по базе телеги, данный бот представляет собой полноценный «комбайн» для пробива по открытым базам данным. С помощью бота пробивается и сам номер телефона (по базам Getcontact, NumBuster и др.).
В телеграме бот выдает также инфо о том, в каких публичных чатах вы состоите.
А также много еще чего. К сожалению, бот платный. Хотя и не особо дорогой. Кому надо, тот поверьте пробьет.
Есть на самом еще множество OSINT решений для пробива (гугл в помощь).
Кто виноват и что делать?
С первым пунктом все и так понятно. Телеграм никогда не был и не является анонимным и близко. Смешно считать анонимным сервис, в основе архитектуры которого лежат централизованная система серверов Гугл и Амазон, для регистрации нужен телефон, база которых в открытую парсилась вплоть до 2019 года.
Но это еще полбеды. Настоящая проблема в том, что телеграм оказался настолько дырявым, что теперь любой школьник, зная пару-тройку ботов может пробивать других пользователей, получая конфиденциальные сведения.
Теперь же что касается рекомендаций.
1. Если ваш номер уже попал в базу, то самым безопасным вариантом будет просто удалить свой аккаунт. И перезарегистрировать заново. Можно на тот же номер телефона. Предварительно можно скопировать важные контакты и данные, если таковые есть.
Новый аккаунт будет иметь свежий ID, а как мы выяснили это ключевой пункт для любого пробива по телеге.
Желательно все же регистрировать аккаунт на отдельный номер, на которых нет никаких контактов, а после регистрации вывернуть на максимум настройки конфиденциальности.
2. Если Вы попали в базу, но по ряду причин не можете расстаться со старым аккаунтом, то имеет смысл выполнить ряд условий:
— Удалить и больше никогда не использовать никнеймы
3. Ну и следить за новостями вокруг телеграм, чтобы быть в курсе происходящего.
Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.
Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.
Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре.
Доступ под заказ
Исследование Лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.
Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит СМС-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером СМС с кодом активации, перехватывают это СМС и используют полученный код для успешной авторизации в мессенджере.
Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались. Обнаружив это, легальный пользователь Telegram может принудительно завершить сессию злоумышленника. Благодаря реализованному механизму защиты обратного произойти не может, злоумышленник не может завершить более старые сессии настоящего пользователя в течении 24 часов. Поэтому важно вовремя обнаружить постороннюю сессию и завершить её, чтобы не потерять доступ к аккаунту. Специалисты Group-IB направили уведомление команде Telegram о своем исследовании ситуации.
Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи. В частности, на хакерских форумах в Даркнете свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram.
«Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований, — комментирует Сергей Лупанин, руководитель отдела расследований киберпреступлений Group-IB, — В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того, чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную аутентификацию везде, где возможно, и добавлять к СМС обязательный второй фактор, что функционально заложено в том же Telegram».
Как защититься?
1. В Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет.
2. На устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: telegram.org/blog/sessions-and-2-step-verification (https://telegram.org/blog/sessions-and-2-step-verification)
3. Важно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.