Расследование началось после обращения в компанию нескольких российских предпринимателей. Они сообщили, что неизвестные смогли получить доступ к их переписке в мессенджере. В рамках исследования было установлено, что во всех случаях хакерами был использован данный метод.
Атака заключалась в следующем: в Telegram пользователь получал сообщение от официального канала мессенджера с синей галочкой верификации. В нем находился код подтверждения, который, однако, запрошен не был. Далее на смартфон жертвы получали СМС с кодом активации, после чего в сервисный канал Telegram автоматически поступало уведомление о входе с нового устройства.
По словам специалистов Group-IB, хакеры проникали в чужой аккаунт через мобильный интернет, вероятнее всего, используя одноразовые сим-карты, а IP-адрес атакующих чаще всего находился в Самаре. Эксперты предупредили, что такой инцидент может произойти, если в настройках мессенджера на смартфоне опция «Облачный пароль» или «Two step verification» не активированы.
Group-IB порекомендовала устанавливать дополнительный способ авторизации в виде пароля в Telegram и прочих мессенджерах, а также не указывать адрес электронной почты для восстановления пароля, поскольку чаще всего сообщения о восстановлении пароля также приходят на смартфон в формате СМС.
Ранее основатель Telegram Павел Дуров рассказал о принципах борьбы с распространением связанного с терроризмом контента в сети. «В Telegram нет места насилию, преступной деятельности и обидчикам. Компания приложила значительные усилия, чтобы искоренить злоумышленников платформы, укрепив свой технический потенциал в борьбе с вредоносным контентом и установив тесные партнерские отношения с международными организациями», – отметил Дуров.
