IT Week описує, як шахраї зламують персональні акаунти в Telegram через отримання доступу до мобільних номерів їхніх власників, та дає поради, як від цього захиститися.
Історія одного зламу
В той понеділок нічого не віщувало біди. День був насичений подіями, і коли прийшло повідомлення від одного з контактів в Телеграмі, де мене просили проголосувати на конкурсі дитячого малюнку, я не одразу звернув на нього увагу. Сказати чесно, я не дуже добре був знайомий з людиною, що стояла за цим контактом, і навіть не знав, чи є в неї діти, але й прохання мені не видалося підозрілим. В повідомленні було вкладено лінк на сайт, за яким я перейшов, щоб проголосувати.
На сайті справді була панель для голосування, але, щоб віддати голос, треба було авторизуватися. «Цілком логічно», − подумав я, адже сайт мав якось запобігати повторним голосуванням. Для авторизації на сайті мені запропонували ввести номер телефону відповідно до формату, а далі підтвердити його за допомогою коду, надісланого через SMS.
Виконавши ці дії, я швидко проголосував за потрібний малюнок, і закрив сайт. До кінця доби нічого підозрілого не відбувалося. Проблеми почалися наступного дня, коли мене «викинуло» з Телеграму, а коли я намагався знову в нього зайти, то отримував повідомлення «Занадто багато спроб входу!»
На певний час я відклав це завдання, хоч і запідозрив щось недобре. Та коли друзі почали запитувати через інші канали комунікацій, що в мене сталося і чому я раптом прошу в них великі суми грошей , я врешті решт зрозумів – мій Telegram точно хакнули.
Реконструкція подій
Як виявилося пізніше, акаунт мого знайомого, від якого прийшов лінк з пропозицією проголосувати на конкурсі дитячого малюнку, також був зламаний. І тому шахраї з його акаунту в Телеграмі розсилали фішингові повідомлення по списку контактів.
Коли я вводив на сайті так званого конкурсу свій номер телефону і потім SMS для його підтвердження, кіберзлочинці зчитували дані з сайту і вводили цей же номер та код на офіційному сайті месенджера, щоб зайти в Телеграм під моїм акаунтом.
Звісно, якби я вчасно зрозумів, що мене хакнули, то міг би в налаштуваннях застосунка в розділі Пристрої обрати пункт «Активні сеанси» та натиснути «Завершити всі інші сеанси». Таким чином я б викинув шахраїв з мого телеграм-акаунта.
Але я не звернув увагу на жодні попереджувальні повідомлення в месенджері, а злочинці почекали 24 години, а після того викинули вже мене з власного акаунту. Нагадаю, що заходи безпеки застосунку налаштовані таким чином, що завершити всі інші активні сеанси в можна тільки якщо з моменту входу минуло не менше 24 годин.
Таким чином зловмисники отримали можливість завершити інші сеанси встановити повний контроль над моїм Телеграмом. Зробивши це, вони почали розсилати повідомлення по списку контактів з проханням дати гроші в борг. Водночас на ще одному комп’ютері бот злочинців постійно повторював «невдалі спроби» входу в мій акаунт – це робилося для того, щоб викликати подію flood_wait (тимчасову заборону на виконання якихось дій для конкретного облікового запису) і сильно ускладнити для мене можливість повторного входу.
Що я робив для відновлення акаунту
Власне перше, що я вчинив після того, як зрозумів, що мене хакнули – розіслав друзям через інші канали попередження, що мій ТГ зламаний, і тому не треба відповідати на будь-які запити з мого акаунту.
Оскільки номер телефону все рівно залишався за мною, то я міг спробувати відновити акаунт через сайт https://web.telegram.org/k/. Для цього треба було ввести свій номер і код авторизації. Якби мені вдалося протриматися в акаунті 24 години поспіль, то я міг би завершити інші активні сеанси і таким чином повернути контроль над своїм Телеграмом. Однак шахраї вчасно помічали, що відкрив нову сесію і примусово її закривали. Кілька днів спроб так зробити не принесли результату.
Отже далі в мене було два шляхи. Або почекати, поки зловмисники зроблять висновок, що вже отримали від мого акаунту всі можливі вигоди і він їм більше непотрібний. Або ж спробувати його видалити і через певний час створити заново. Звісно тоді я втрачу всю історію повідомлень, та й контакти доведеться додавати заново, але що поробиш. На щастя, я не був одноосібним власником телеграм-груп і каналів, адже у випадку видалення акаунту всі ці группи назавжди залишаються без власника, і ними ніхто не зможе керувати.
Для видалення облікового запису необхідно перейти за посиланням: https://my.telegram.org/auth?to=delete. Цю процедуру зручніше виконувати в браузері на комп’ютері, а не з телефону. Також треба враховувати, що код підтвердження на видалення приходить не в SMS, а у внутрішньому повідомленні прямо в Telegram.
Отже, я відкрив дві сторінки в браузері. Перша – це авторизація в Телеграм. Друга – видалення акаунту в месенджері. Моє завдання полягало в тому, що авторизуватися в застосунку і тут же, поки шахраї не закрили мою сесію, подати запит на видалення акаунту.
Оскільки діяти треба було дуже швидко, я завчасно ввів номер телефону на сторінці видалення, але кнопку «Далі» не натискав, поки не здійснив вход в Телеграм на комп’ютері. Далі перемкнувся на сторінку видалення, натиснув «Далі» (Next), потім знову перейшов на сторінку, же здійснив вхід, і дочекався приходу коду підтвердження. Коли він прийшов – швидко зробив знімок екрану (якщо раптом зловмисники закриють мій сеанс ще до того, як я встигну скопіювати код), а потім ввів цей код для підтвердження видалення.
В принципі, на тому історію зі зламом мого акаунту закінчилася. У той же день увечері я заново зареєстрував акаунт в Телеграмі на той самий номер телефону і зараз поступову відновлюю перелік контактів.
Кілька застережень на майбутнє
Отже, щоб не втратити свій акаунт в ТГ чи іншому месенджері, не приймайте файли, не відкривайте жодних посилань від незнайомих користувачів чи навіть друзів, якщо ви не домовлялися про такі речі завчасно!
Якщо таки перейшли за підозрілим посилання, не вводьте ніякі дані чи коди доступу, поки не точно не переконаєтеся, що SMS, який ви отримали, не є кодом доступу в один з ваших месенджерів чи в банківський акаунт. Зазвичай в самому SMS буде написано, для чого цей код доступу.
У разі якщо ви отримали повідомлення в Телеграмі про неавторизований вами вхід в застосунок на іншому пристрої, негайно перейдіть в меню до Налаштування > Конфіденційність > Пристрої. Якщо у списку є незнайомі пристрої, видаліть такі сеанси зі списку. А щоб розлогинитися на всіх пристроях, окрім поточного, натисніть “Завершити всі інші сеанси”.
Окрім того, для захисту облікового запису можна задати локальний код-пароль на програму, а також обов’язково встановіть або змініть додатковий пароль 2FA: Конфіденційність > Двоетапна автентифікація (або Хмарний пароль). Не забудьте вказати пошту для відновлення пароля у майбутньому.