До недавнего времени у меня была ложная уверенность, что покуда аккаунт Telegram привязан к реальному мобильному номеру и при этом у пользователя есть доверенное устройство, то удалённо украсть аккаунт, как минимум, чрезвычайно сложно, если вообще возможно. Максимум, кто-то может открыть ещё одну пользовательскую сессию и получить доступ к перепискам.

Однако на деле оказалось, что букально в течение нескольких дней злоумышленник способен ещё и безвозвратно отвязать мобильный номер втихую, что ведёт к полной потере доступа настоящим пользователем, - вот уж то, чего действительно не ожидал от сервиса, который по своим ценностям нацелен на безопасность!..

Сразу замечу, что эту лазейку довольно легко исправить, но почему-то она до сих пор присутствует... Причём, судя по всему, служба поддержки не справляется с обращениями пользователей (даже с платной подпиской!), поэтому шанс вернуть аккаунт стремится к нулю.

Именно по этой причине было решено опубликовать данное обращение, вдруг на него всё же обратят внимание разработчики Telegram и примут необходимые меры для усиления безопасности.

Описание схемы кражи аккаунта и возможных путей предотвращения

Уже много лет подряд мой личный аккаунт был привязан к одному мобильному номеру. Неделю-две назад в совсем другой социальной сети мне пришло сообщение от якобы менеджера магазина одежды с предложением о сотрудничестве, стать амбассадором бренда.

В сообщении присутствовала вредоносная ссылка, которая вела на телеграм-аккаунт сотрудника, которому нужно было написать для получения более детальной информации.

Поскольку заходил по этой ссылке с компьютера, на котором не установлено приложение, открылась веб-версия приложения, где нужно было отсканировать qr-код с доверенного мобильного устройства.

На тот момент был сонный и уставший, поэтому без всякой задней мысли этот код отсканировал, подтвердил вход и успешно зашёл на фишинговую веб-версию Telegram с компьютера. А спустя несколько дней вдруг обнаружил, что аккаунт был отвязан от текущего мобильного номера и у меня уже нет к нему доступа.

Замечу, что никаких sms-оповещений о происходящей смене номера мне не поступало, хотя по-хорошему можно было прислать соообщение примерно следующего содержания: «Кто-то пытается отвязать данный мобильный номер от телеграм-аккаунта и сменить его на другой. Если вы не запрашивали смену номера, то срочно войдите в аккаунт, чтобы прервать этот процесс».

Более того, можно даже не заморачиваться с рассылкой sms-оповещений, а просто оставить «окно», скажем, около месяца, в течении которого на аккаунт ещё можно зайти с отвязывемого мобильного номера и увидеть схожее сообщение внутри приложениия с возможностью превать этот процесс.

В реальности текущая резкая и при этом тихая смена номера несёт куда большие риски потери доступа к аккаунту, чем «окно плавной смены номера».

На момент публикации доступ к моему аккаунту полностью потерян, вернуть аккаунт на прежний номер или хотя бы как-то ограничить отправку сообщений с него, чтобы предотвратить возможные попытки мошенничества среди контактов, нет возможности, поскольку обращения в поддержку остаются без ответа уже несколько дней подряд.

Может быть, сам чего-то недопонимаю и идея с окном плавной смены мобильного номера не лучший вариант решения, но тогда буду очень благодарен за подробные пояснения почему...