Как стать автором
Обновить

Синдром любящей бабушки: почему в России все еще “угоняют” Telegram

Уровень сложностиПростой
Время на прочтение3 мин
Количество просмотров13K
Всего голосов 22: ↑19 и ↓3+16
Комментарии49

Комментарии 49

Разбирал один случай, который недавно произошел со знакомым. От его имени тоже пошла такая рассылка. Но сопоставляя время, когда он вводил код подтверждения (тоже какая-то якобы голосовалка) и время рассылки, пришёл к выводу, что они не просто разослали сообщения, а добавили по телефонной книге отложенные сообщения, а затем разлогинились из аккаунта, что затруднило поиск причины (по началу человек вообще не понимал, что происходит). В списке устройств был только один телефон.

Ого! Просчитывают всё на несколько шагов 🥴

А если еще удалить сообщения отправленные (только с одной, взломанной стороны) - то можно вообще не сразу обнаружить угон, а к моменту как он будет обнаружен, уже утащит за собой большое количество аккаунтов

сталкивался именно с таким поведением
Происходит рассылка по всем контактам, с взломанной стороны сообщения сразу удаляются. В устройствах только одно. То есть, бот создал отложенные сообщения и разлогинился.
При этом, спортивного интереса ради с ненужного аккаунта перешел по ссылке и прошел весь путь - ввод номера, ввод кода - попросили отключить двухфакторку, отключил - появилось второе устройство - меня выкинули - через пару недель с аккаунта пришла рассылка по контактам.
Похоже, выкидывают только из тех акков, кто являются владельцами каналов. В противном случае просто рассылка с целью набрать базу аккаунтов

Правило №0: Никому не доверяй. Особенно себе.

Эта тонкая грань с паранойей :)

"Даже если у вас нет паранойи, это не значит, что у вас не хотят угнать аккаунт."

НЛО прилетело и опубликовало эту надпись здесь
Я что-то не понял: человек переходит по ссылке, вводит свой номер телефона (информация по-определению ни разу не секретная) и «код подтверждения» (который вообще злоумышленники сами ему выслали), и этого достаточно, чтобы украсть аккаунт? Не пароль украсть, а уговорить ввести код, который они сами сгенерировали? Это как вообще? Поясните, как это работает, я просто ни разу не пользовался Телеграмом.

они не генерируют код. Они пытаются войти в аккаунт по номеру телефона. Код присылает telegram пользователю, а он передает мошенникам через сайт и готово)

Для входа в telegram пароль не нужен? Вводишь номер телефона, тебе по SMS приходит код, вводишь код?

Если двухфакторка выключена, то да: пароль является вторым фактором.

Сначала код приходит в самом телеграм, позже можно и через смс получить.

офигеть. 21 век на дворе. ИИ, нейросети, квантовое шифрование.

код из СМС. И доступ к акаунту.

это и удивляет!

Это что, почта россии получение посылки ТОЛЬКО по коду из смс раньше называла двухфакторной аутентификацией.

Расписал подробнее

  1. Пользователь пытаются войти в аккаунт по номеру телефона в фэйковой форме злоумышленника

  2. Злоумышленик - пытается реально зайти в реальный телеграмм используя реальный номер предоставленный пользователем в фэйковой форме

  3. Реальный телеграмм - посылает реальный код на твой телефон

  4. Ты вводишь реальный код в фэйковую форму злоумышленника

  5. Злоумышленик получает реальный код и вводит в реальный телеграмм(в п.2)

  6. Злоумышленик получает доступ к аккаунту

Игрался так по такому-же сценарию в молодости. В поезде за соседним кресле разговаривали 2 девушки и одна попросила продиктовать телефон у другой (дело было вечером делать было нечего) и когда она диктовала вслух я быстро набирал и нажимал позвонить быстрее чем тот кому говорили, в итоге 2 из 3 разных попыток заметили подмену. а кому-то было достаточно факта звонка.

Да я понял, что это какой-то вариант старого развода, когда тебе приходит, к примеру, е-мэйл с адреса support@miсrosoft.com (на самом деле нет, но адрес отправителя, вроде, произвольный подставляется), в нём ссылка, ты заходишь по этой ссылке куда-то, там сайт, чуть более чем полностью похожий на сайт Microsoft (на адресную строку ты не смотришь), ты «логинишься» и сообщаешь им свой пароль. Меня «код подтверждения» смутил, я не понимаю всех этих новомодных фишек с регистрацией по номеру телефона и сто пятидесяти девятифакторным авторизациями.

Все равно не понимаю, кем надо быть, чтобы попасться. Да, ты вводишь свой номер телефона на фейковой форме и тебе пишут, что нужно ввести код.
Но код то присылает не бот, не сайт конкурса, а телеграм. Это блин то же самое, что СМС от банка - кто ее вводить будет если не собирается потратить денег?

Предположу, что "сайт конкурса" предлагает "авторизоваться через Телеграм", как и миллионы других сайтов, которые в качестве альтернативы отдельному логину/паролю предлагают вход через соцсети. И это кажется пользователю, привыкшему к таким сценариям, нормальным. А вот "вход через банк" нормальным не покажется (хотя... Сбер ID, вроде есть)

Сбер ID, вроде есть
Да, видел на официальной vk-странице Сбера эти срачи: мол, какого хрена на развлекательном сайте вводить логины доступа к банку. На что менеджер сообщества успокаивал: не бойтесь, вводите, это безопасно, это такой же вход, как через аккаунт Гугл и т.п.

Это нормально, до тех пор пока код присылает бот конкурса, а не канал телеграма. Сбер ИД "это другое". Хотя меня напрягает и он (напрягал бы если бы я им пользовался) и окошко гугла вылезающее прямо из приложения, а не открывающееся в браузере. Блин, там даже адресную строку не посмотреть.

Телеграм и ему подобные программы для обмена сообщениями стали популярны именно благодаря отсутствию необходимости придумывать логин, пароль и иметь ящик электронной почты (ещё потому что контакты всасывались автоматически).

И тут вы предлагаете всё опять усложнить со своей двух факторной аутентификацией. Конечно на Хабре программисты поймут, но народ в массе - нет.

Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет. Поэтому они будут отказываться от этого до последнего и будут уговаривать пользователей сделать это добровольно.

Собственно по это причине пришлось начать отказываться от Яндексовской почты, так как зайти на десяток не очень важных аккаунтов теперь невозможно без привязки телефона. Ладно хоть сама почта по IMAP работать продолжает.

У нас самой продвинутой почтой оказался рамблер) Потому что без проблем дал зарегистрироваться без телефона и включить TOTP аутентификацию. Яндекс зачем-то запилил свой велосипед (яндекс ключ), которым пользоваться желания не возникает. Мэйл требует номер телефона. Больше всего меня удивило, что TOTP нет у гугла.

Двухфакторная аутентификация уже давно есть у каждого приличного мессенджера. Включая телеграм.

В мессенджерах просто факторы идут в другом порядке. Первый, обязательный - код из смс/in-app. Второй, опциональный - пароль.

Второй, опциональный - пароль.

В том и дело что второй опциональный и им народ в массе не пользуется. Автор статьи предлагает начать им пользоваться, но это невозможно, по указанным выше причинам.

Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет

Эээээ???

Это какой сейчас из мессенжеров позволяет заводить аккаунты без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс, только с логином и паролем? Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...

Видимо имеется ввиду, что каждый чих должен сопровождаться двухфакторной аутентификаций. К примеру авторизоваться в браузере можно по QR с телефона, причем в WA добавили бестолковую для меня функцию - запоминания сессии и теперь надо вручную выходить с каждого браузера...

Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...

Не стоить ограничиваться Гуглом, Яндексом и Майлру. Proton можно пользовать, например, у него нет привязки вообще ни к чему

Даже если не ограничиваться ими - один фиг, сплошь и рядом вводят привязку.

зы pop3/imap у протона тоже нет

Вам анонимность или поддержку клиентских протоколов?

Если хочется и то, и то - увы, на дворе 2023, а не 2010. Или купить vps за крипту и поднять на нем что душа пожелает - но это требования к знаниям и расход денег. Как говорится «если за сервис не платишь ты, значит, владельцы сервиса продают тебя». Да даже если и платишь…

А какие два фактора-то? Вроде всем популярным мессенджерам достаточно одного телефона в ваших руках. Даже доступ к смс попросят чтобы вы не утруждались вводом кода...

Так тут только один фактор - SMS ("То, чем ты владеешь")

Второго - например, пароля ("То, что ты помнишь") - почти ни у кого нет. У Телеграма опциональный, и у Сигнала, ЕМНИП, PIN обязателен...

Неделю назад устанавливал члену семьи мессенджер Wire — никаких телефонов и СМС, никакой обязательной двухфакторной чего-то там, логин-пароль, как в старые добрые времена.
В Скайпе тоже до сих пор не вижу ничего подобного — правда, аккаунт давно заводил, не знаю, можно ли сейчас так же завести, не оскоромившись, или уже нет?
Мессенджер Line (запрещённый в Российской Федерации) можно (было?) зарегистрировать не через номер телефона, а через аккаунт в Пейсбуке, который тоже можно (было?) зарегистрировать без телефона и СМС.
Jitsi, вроде, тоже никакого телефона не просил никогда, но тоже давно это было, не знаю, что сейчас.

без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс

Двухфакторная аутентификация это смс + пароль. Номер телефона это не секрет.

Matrix к примеру. Очень удобно, только логин и пароль, остальное опционально, можно не вводить.
Вы почему-то ставите знак равенства между смс и вторым фактором.

В том же Telegram смс это первый и единственный по умолчанию фактор. Второй фактор — это пароль, хранящийся в голове пользователя, но он опциональный и по умолчанию не используется.

ок, первый фактор это код в смс. второй фактор какой?

но народ в массе - нет

Это как с бэкапами: до первого происшествия. Потом все начинают понимать.

Ого.. мы зашли по непонятной ссылке, ввели коды и свой номер телефона, а плох телеграм?) Ну штош.. логично.

Мы не обвиняем Telegram, а призываем к бдительности! 🤓

На сайтах есть авторизация через Телеграмм, она так и работает, надо ввести номер телефона и подтвердить в телеграмм. Только там всплывает окно от oauth.telegram.org, а на сайте злоумышленника с похожего домена похожее окно, не всегда смотришь в адресную строку, а вот то что пришел код, а не кнопки "отклонить","подтвердить" это уже настораживает, но не всех.

Отличный повод вспомнить про информационную гигиену.
В моем окружении вообще никто никому не пересылает мемасики, ссылочьки, картиночки, просьбочки помочь больным попугайчикам и прочий информационный мусор.
Исключение делается для престарелых тетушек, но там это все просто игнорируется.

Hidden text

У меня как-то некоторые товарищи баловались всякими опросиками. Каждый раз я интересовался, не взломали ли человека. После чего, когда выяснялось, что не взломали, человеку единожды выписывалось предупреждение, что если ещё хоть одна такая ссылка, и человек отправится в бессрочный бан. Кто-то понял, с кем-то по сей день не общаемся. Отучил своё окружение от рассылки всякого шлака. Теперь, если от кого что приходит подобное тому, что в статье, процентов на 99 можно быть уверенным, что человека взломали.

НЛО прилетело и опубликовало эту надпись здесь

Как обычно, единственная рекомендация - не сообщать коды из СМС?

Но ведь Телеграм, когда присылает код, явно пишет "не сообщайте его никому"...

Но его же все равно нужно ввести куда-то в любом случае. Что значит не сообщать "никому"?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий