«Регистрируйте аккаунты на беларусские номера». Разбирались, как взламывают Telegram, и сделали выводы
Журналист и предприниматель, которые находятся за границей, узнали, что неизвестные зарегистрировали аккаунты на их сим-карты, но смогли перехватить к ним доступ.
Media IQ стало известно о двух произошедших недавно случаях создания аккаунтов в Telegram неизвестными с использованием номеров абонентов беларусского оператора. В одном случае был использован номер журналиста, в другом – предпринимателя. Оба уже долгое время находятся за границей, но сохранили за собой номера А1 и оплачивают абонентскую плату.
Оба случая почти идентичны – разобраться в ситуации мы попытались с помощью специалиста в IT-сфере.
Код с доступом не приходил на сим-карту. Что сделали?
Итак, в конце декабря абоненты заметили, что с их номеров кто-то другой зарегистрировал аккаунты в Telegram. Об этом стало известно от друзей, которым пришли оповещения о том, что номер из контактов появился в мессенджере.
Владельцы сим-карт пояснили, что ранее их аккаунты в Telegram были на беларусских номерах, затем они перенесли их на иностранные. Соответственно, беларусские номера стали свободными.
Когда абоненты узнали о том, что с их номерами телефона появились новые аккаунты, они попытались войти в эти аккаунты, добавив их в своё приложение Telegram. Сразу сделать это не получилось: код с доступом направлялся не через смс на беларусскую сим-карту, которая находилась в их телефонах, а на устройство, с которого были зарегистрированы аккаунты – такую настройку задал неизвестный регистратор.
Однако Telegram позволяет в процессе добавления аккаунта в приложение сменить настройку и выбрать функцию «направить код через смс». Оба абонента сделали это, получили смс и таким образом вошли в созданные неизвестными аккаунты.
Знакомые из контактов сразу же поприветствовали, не убедившись в том, кто на связи
Что они там увидели? В первый же день регистрации аккаунта многие знакомые отправили им приветственные сообщения. В одном из случаев контакт напомнил в сообщении, что познакомился с владельцем номера во время протестов в 2020 году. Этот человек и сейчас находится в Беларуси, и он поставил себя под угрозу, не проверив, действительно ли аккаунт принадлежит тому, кому он адресовал сообщение.
Первым делом владельцы сим-карт зафиксировали, с каких устройств и IP-адресов был доступ к аккаунту и завершили предыдущие сеансы, сразу же установив двухфакторную идентификацию и привязав её к аккаунту e-mail. Перехват аккаунтов удалось быстро осуществить благодаря тому, что злоумышленники предварительно не установили двухфакторную идентификацию. В этом случае процесс был бы сложнее – пришлось бы сбрасывать её и ожидать определённое время.
Где зарегистрировали аккаунты и что показала проверка?
Анализ IP-адресов показал, что в аккаунты входили с двух устройств. Вероятно, сначала со смартфона, а затем с компьютера. В первом случае оба IP-адреса были минские, а во втором – московский и гонконгский, однако не исключено, что на самом деле аккаунт создавали на территории Беларуси, но использовали при этом VPN. В обоих случаях аккаунты были названы иностранными женскими именами.
Проверка показала, что никаких действий с аккаунтами сразу произвести не успели. Судя по всему, войдя в них с компьютера, злоумышленники проверили аккаунты на участие в чатах, и оставленные там сообщения, подписки и наличие контактов. Благодаря тому, что ранее аккаунты были переведены на иностранные номера, все переписки и контакты были недоступны неизвестным.
Узнав, что аккаунты «чистые» злоумышленники, вероятно, потеряли к ним интерес. Однако в дальнейшем аккаунты могли быть использованы для провокаций путём переписки с откликнувшимися контактами от имени владельцев номеров.
Как злоумышленники могли получить доступ к номеру?
Наш специалист уверен, что речь не идёт об утечке номеров из баз А1, например, для создания ботов – для этого проще использовать виртуальные сим-карты – и взломы могли произойти при участии оператора и спецслужб. Вероятнее всего, ими были получены дубликаты сим-карт, после чего основные сим-карты на короткое время деактивировались – соответственно, код для регистрации аккаунта приходил на дубль-карту, чтобы абоненты не получили код и не заметили, что кто-то регистрирует аккаунт с их номеров.
Поэтому для того, чтобы предотвратить подобные случаи, специалист советует владельцам беларусских сим-карт самим создавать на эти номера новые аккаунты и добавлять их в своё приложение. При этом – сразу включать двухфакторную идентификацию и привязывать e-mail к аккаунту, чтобы усложнить доступ к нему посторонних лиц.