Комментарии 49
Разбирал один случай, который недавно произошел со знакомым. От его имени тоже пошла такая рассылка. Но сопоставляя время, когда он вводил код подтверждения (тоже какая-то якобы голосовалка) и время рассылки, пришёл к выводу, что они не просто разослали сообщения, а добавили по телефонной книге отложенные сообщения, а затем разлогинились из аккаунта, что затруднило поиск причины (по началу человек вообще не понимал, что происходит). В списке устройств был только один телефон.
Ого! Просчитывают всё на несколько шагов ?
А если еще удалить сообщения отправленные (только с одной, взломанной стороны) - то можно вообще не сразу обнаружить угон, а к моменту как он будет обнаружен, уже утащит за собой большое количество аккаунтов
сталкивался именно с таким поведением
Происходит рассылка по всем контактам, с взломанной стороны сообщения сразу удаляются. В устройствах только одно. То есть, бот создал отложенные сообщения и разлогинился.
При этом, спортивного интереса ради с ненужного аккаунта перешел по ссылке и прошел весь путь - ввод номера, ввод кода - попросили отключить двухфакторку, отключил - появилось второе устройство - меня выкинули - через пару недель с аккаунта пришла рассылка по контактам.
Похоже, выкидывают только из тех акков, кто являются владельцами каналов. В противном случае просто рассылка с целью набрать базу аккаунтов
Правило №0: Никому не доверяй. Особенно себе.
они не генерируют код. Они пытаются войти в аккаунт по номеру телефона. Код присылает telegram пользователю, а он передает мошенникам через сайт и готово)
Если двухфакторка выключена, то да: пароль является вторым фактором.
Сначала код приходит в самом телеграм, позже можно и через смс получить.
Расписал подробнее
Пользователь пытаются войти в аккаунт по номеру телефона в фэйковой форме злоумышленника
Злоумышленик - пытается реально зайти в реальный телеграмм используя реальный номер предоставленный пользователем в фэйковой форме
Реальный телеграмм - посылает реальный код на твой телефон
Ты вводишь реальный код в фэйковую форму злоумышленника
Злоумышленик получает реальный код и вводит в реальный телеграмм(в п.2)
Злоумышленик получает доступ к аккаунту
Игрался так по такому-же сценарию в молодости. В поезде за соседним кресле разговаривали 2 девушки и одна попросила продиктовать телефон у другой (дело было вечером делать было нечего) и когда она диктовала вслух я быстро набирал и нажимал позвонить быстрее чем тот кому говорили, в итоге 2 из 3 разных попыток заметили подмену. а кому-то было достаточно факта звонка.
Все равно не понимаю, кем надо быть, чтобы попасться. Да, ты вводишь свой номер телефона на фейковой форме и тебе пишут, что нужно ввести код.
Но код то присылает не бот, не сайт конкурса, а телеграм. Это блин то же самое, что СМС от банка - кто ее вводить будет если не собирается потратить денег?
Предположу, что "сайт конкурса" предлагает "авторизоваться через Телеграм", как и миллионы других сайтов, которые в качестве альтернативы отдельному логину/паролю предлагают вход через соцсети. И это кажется пользователю, привыкшему к таким сценариям, нормальным. А вот "вход через банк" нормальным не покажется (хотя... Сбер ID, вроде есть)
Сбер ID, вроде естьДа, видел на официальной vk-странице Сбера эти срачи: мол, какого хрена на развлекательном сайте вводить логины доступа к банку. На что менеджер сообщества успокаивал: не бойтесь, вводите, это безопасно, это такой же вход, как через аккаунт Гугл и т.п.
Это нормально, до тех пор пока код присылает бот конкурса, а не канал телеграма. Сбер ИД "это другое". Хотя меня напрягает и он (напрягал бы если бы я им пользовался) и окошко гугла вылезающее прямо из приложения, а не открывающееся в браузере. Блин, там даже адресную строку не посмотреть.
Телеграм и ему подобные программы для обмена сообщениями стали популярны именно благодаря отсутствию необходимости придумывать логин, пароль и иметь ящик электронной почты (ещё потому что контакты всасывались автоматически).
И тут вы предлагаете всё опять усложнить со своей двух факторной аутентификацией. Конечно на Хабре программисты поймут, но народ в массе - нет.
Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет. Поэтому они будут отказываться от этого до последнего и будут уговаривать пользователей сделать это добровольно.
Собственно по это причине пришлось начать отказываться от Яндексовской почты, так как зайти на десяток не очень важных аккаунтов теперь невозможно без привязки телефона. Ладно хоть сама почта по IMAP работать продолжает.
Двухфакторная аутентификация уже давно есть у каждого приличного мессенджера. Включая телеграм.
В мессенджерах просто факторы идут в другом порядке. Первый, обязательный - код из смс/in-app. Второй, опциональный - пароль.
Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет
Эээээ???
Это какой сейчас из мессенжеров позволяет заводить аккаунты без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс, только с логином и паролем? Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...
Видимо имеется ввиду, что каждый чих должен сопровождаться двухфакторной аутентификаций. К примеру авторизоваться в браузере можно по QR с телефона, причем в WA добавили бестолковую для меня функцию - запоминания сессии и теперь надо вручную выходить с каждого браузера...
Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...
Не стоить ограничиваться Гуглом, Яндексом и Майлру. Proton можно пользовать, например, у него нет привязки вообще ни к чему
Даже если не ограничиваться ими - один фиг, сплошь и рядом вводят привязку.
зы pop3/imap у протона тоже нет
Вам анонимность или поддержку клиентских протоколов?
Если хочется и то, и то - увы, на дворе 2023, а не 2010. Или купить vps за крипту и поднять на нем что душа пожелает - но это требования к знаниям и расход денег. Как говорится «если за сервис не платишь ты, значит, владельцы сервиса продают тебя». Да даже если и платишь…
А какие два фактора-то? Вроде всем популярным мессенджерам достаточно одного телефона в ваших руках. Даже доступ к смс попросят чтобы вы не утруждались вводом кода...
Так тут только один фактор - SMS ("То, чем ты владеешь")
Второго - например, пароля ("То, что ты помнишь") - почти ни у кого нет. У Телеграма опциональный, и у Сигнала, ЕМНИП, PIN обязателен...
В Скайпе тоже до сих пор не вижу ничего подобного — правда, аккаунт давно заводил, не знаю, можно ли сейчас так же завести, не оскоромившись, или уже нет?
Мессенджер Line (запрещённый в Российской Федерации) можно (было?) зарегистрировать не через номер телефона, а через аккаунт в Пейсбуке, который тоже можно (было?) зарегистрировать без телефона и СМС.
Jitsi, вроде, тоже никакого телефона не просил никогда, но тоже давно это было, не знаю, что сейчас.
без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс
Двухфакторная аутентификация это смс + пароль. Номер телефона это не секрет.
В том же Telegram смс это первый и единственный по умолчанию фактор. Второй фактор — это пароль, хранящийся в голове пользователя, но он опциональный и по умолчанию не используется.
ок, первый фактор это код в смс. второй фактор какой?
но народ в массе - нет
Это как с бэкапами: до первого происшествия. Потом все начинают понимать.
Ого.. мы зашли по непонятной ссылке, ввели коды и свой номер телефона, а плох телеграм?) Ну штош.. логично.
Мы не обвиняем Telegram, а призываем к бдительности! ?
На сайтах есть авторизация через Телеграмм, она так и работает, надо ввести номер телефона и подтвердить в телеграмм. Только там всплывает окно от oauth.telegram.org, а на сайте злоумышленника с похожего домена похожее окно, не всегда смотришь в адресную строку, а вот то что пришел код, а не кнопки "отклонить","подтвердить" это уже настораживает, но не всех.
Отличный повод вспомнить про информационную гигиену.
В моем окружении вообще никто никому не пересылает мемасики, ссылочьки, картиночки, просьбочки помочь больным попугайчикам и прочий информационный мусор.
Исключение делается для престарелых тетушек, но там это все просто игнорируется.
У меня как-то некоторые товарищи баловались всякими опросиками. Каждый раз я интересовался, не взломали ли человека. После чего, когда выяснялось, что не взломали, человеку единожды выписывалось предупреждение, что если ещё хоть одна такая ссылка, и человек отправится в бессрочный бан. Кто-то понял, с кем-то по сей день не общаемся. Отучил своё окружение от рассылки всякого шлака. Теперь, если от кого что приходит подобное тому, что в статье, процентов на 99 можно быть уверенным, что человека взломали.
Как обычно, единственная рекомендация - не сообщать коды из СМС?
Но ведь Телеграм, когда присылает код, явно пишет "не сообщайте его никому"...
Синдром любящей бабушки: почему в России все еще “угоняют” Telegram