Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 24
Господи что это за статьи уровня Домашний очаг?
TL;TR: Если вы ввели логин/пароль к телеге на фишинговом сайте, ваш акк в телеге угонят. Архитектурный факап, !!!11111
Вы не уловили суть публикации. Архитектурный факап присутствует в механике смены мобильного номера.
Уловил, об это один абзац в конце, а до того весь текст про как попасть на фишинговый сайт и ввести там свои credentials.
Возможно, вы не обратили внимания, но об этом ещё в спойлере к публикации упомянуто
Более того, существуют лазейки, которые позволяют полностью украсть скомпрометированный аккаунт путём тихой смены мобильного номера без возможности дальнейшего восстановления личных данных и доступа.
И в конце об этом снова же, поскольку является завершающим этапом фишинговой атаки.
Ваша формулировка звучит абстрактно. "Существуют лазейки", "тихая смена номера без возможности восстановления". Словно есть какая-то чудо тема от хакеров, которые могут все провернуть незаметно для пользователя. Да и заголовок клик-бейт в чистом виде. Схема с фишингом существует наверное со времён появления интернета
Есть чудо-тема от самих разработчиков месенджера, которые реализовали процедуру смены номера ну очень “безопасным” (читай: безобразным) образом, благодаря которой имеет смысл и во всей полноте работает схема фишинга.
Если б нормально было сделано (с возможностью оповещения и отмены операции смены номера в течение некоторого периода), то полностью украсть аккаунт было очень проблематично и вред от фишинга для обычных пользователей стал бы минимальным.
А так узнаёшь о произведённой смене номера уже постфактум, когда тебя вылогинило из приложений, и сделать уже ничего не можешь даже через поддержку, потому что не отвечают.
Для меня, например, не сильно критично, что кто-то прочтёт переписки или увидит подписки, секретов там не храню, но вот “избранное” или какие-то моменты истории терять вместе с аккаунтом немножко грустно.
Номер телефона в телеге используется только как защита от массового создания аккаунтов. В дальнейшем он не играет никакой роли, вы можете потерять доступ к телеге в независимости от того какой номер к ней подключен, код приходит на устройство с рабочей сессией. И это прекрасно, потому что номер не вполне вам принадлежит, в отличии от устройства или пароля от 2ф.
Для обычных пользователей, которые используют Телеграмм для повседневного общения с друзьями и коллегами, а не каких-то сомнительных дел, ничего прекрасного в такой схеме нет.
А в том, что старую сессию довольно легко можно завершить из новой скомпрометированной без каких-либо подтверждений, очень хороший потенциал при похищении аккаунта.
Кстати, могу ошибаться, но, по-моему, вы не вполне правы насчёт номера… Если устройств с рабочей сессией не осталось (удалили приложение, сломался телефон), то восстановить доступ к аккаунту можно только лишь кодом подтверждения на привязанный мобильный номер, то есть он играет свою роль.
При корректной механике смены мобильного номера даже при вводе личных данных на фишинговом ресурсе вероятность незаметного “угона” аккаунта становится минимальной.
Внезапно - у ВК(!) давно было сделано (сейчас возможно конечно и там - убрали это) что если входишь без номера телефона (Ну или уже сессия есть) то поменять номер не имея доступа к старому - можно но будет недель висеть баннер что идет процедура замены и это можно отменить. Но видимо это утраченные технологии древней цивилизации.
То критические баги от ИИ в Махе, то - "ой, смотрите, а через фишинг-то учётки в ТГ угоняют!".
Пожалуйста, прекратите эти ваши
попытка “достучаться”
это попытка накрутиться на Мах/ТГ. Актуальная схема :)
В конкретном случае ваш вывод неверный: у меня недавно украли личный телеграмм-аккаунт именно по этой схеме, во многом из-за ошибочной уверенности, что покуда он привязан к реальному мобильному номеру, с ним ничего серьёзного не сможет случиться.
Ну, максимум, кто-то получит доступ к перепискам, но в любой момент есть возможность закрыть скомпрометированную сессию. Но не тут-то было, оказалось, что номер можно поменять втихую и уже позакрывать мои сессии.
То есть присутствует существенное упущение и лазейка в механике смены мобильного номера. По официальным каналам до разработчиков и поддержки у меня достучаться не удалось, поэтому остался вариант лишь с публичной оглаской.
Видите ли, в последнее время так много выходит постов на тему Маха, по большей части которые не содержат той технической части, что хотелось бы видеть на Хабре. В вашей статье в основном идёт описание фишинга и то в скринах больше, а эта тема не нова совершенно. Печально, что с вами случилась эта проблема, зато появился опыт, хоть какой-то плюс. А эта лазейка как фича, видимо нужна кому-то и будет работать ещё, ведь предыдущая ваша статья не дала эффекта(возможно пока что).
Похоже, что желаемого эфффекта действительно на данный момент не достигнуто, но хотя бы осведомлённость людей повышается.
Вообще, меня очень удивляет тот факт, что столь серьёзная лазейка, которую весьма легко прикрыть, существует уже много лет и разработчикам до неё как будто и дела нет.
Если поразмышлять на эту тему в конспиративном русле, то замечательный бэкдор получается: делаем недокументированный api-метод, который тихо подменяет мобильный номер для любого аккаунта, вызываем его, незаметно открываем сессию и вуаля, получаем доступ к личным данным, а при необходимости ещё и сам аккаунт можно отобрать. Надеюсь, что это лишь моя фантазия! (:
Что за хайп вокруг накрутки ТГ? Телега платит бабло за подписюнов или какой в этом профит? Мне сложно поверить, что кто-то ведется на рекламу в этом мусорном мессенджере, где среди спама уже сложно найти деловую переписку. Если б не блокировка воцап, я бы даже не узнал о существовании этих недомессенджеров.
Хочется добавить, что примерно такие же схемы (как минимум с точки зрения смены номера) имеют место быть в онлайн банках. Есть прецеденты. И больше всего негодования вызывает то, что этот номер, опять же, меняется без проблем или каких-либо фич, препятствующих манипуляциям на аккаунте. Номер на скомпрометированном аккаунте меняется без ведома владельца и деньги крадутся. Антифрод может и не помочь
И в таких условиях у того же MAX'а похоже намеренно сделано что Цифровой ID можно создать только если номер MAX'а совпадает с тем что в госуслугах. Если при этом MAX'ом еще и пользоваться - его ж будут знать все желающие и какая никакая но защита основанная на том что у банков/госуслуг отдельная сим - уже не работает.
Главный недостаток этой статьи в том, что решительно ничего понятнее не стало. В результате весь этот текст не отличается от совета по сетевой гигиене - "не ходите по незнакомым ссылкам".
Правильно ли я понял, что настоящий QR "транслирован" через фишинговую страницу, а реальную сессию установил злоумышленник? В любом случае непонятно, зачем где бы то ни было вводить второй фактор от своего аккаунта...
Да, верно, настоящий QR транслирован через фишинговую страницу, поэтому сесию крадёт посторонний.
Но это полбеды: заметив подозрительную активность, владелец аккаунта рано или поздно мог бы завершить скомпрометированную сессию самостоятельно, однако через некоторое время тихого ожидания этому постороннему становится доступной возможность внезапной смены мобильного номера без ведома владельца аккаунта, что ведёт к краже и полной потере доступа настоящим владельцем.
Обращения в поддержку остаются без ответа, поэтому на неё рассчитывать не приходится…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Актуальная схема получения доступа к аккаунтам Telegram и Max