Povzetek
Od sredine leta 2024 na SI-CERT beležimo primere kreiranja uporabniških računov na platformi Telegram s slovenskimi telefonskimi številkami, pri čemer računov niso kreirali uporabniki teh številk. Prav tako na podoben način prihaja do prevzema obstoječih Telegram računov, ki niso zaščiteni z dodatnim geslom. Zaenkrat na SI-CERT ne vemo, na kakšen način prihaja do teh zlorab, vemo pa, da ne gre za težavo, na katero bi uporabniki lahko vplivali. Trenutno zbrane informacije kažejo, da ne gre za ciljane napade. Računi so najverjetneje kreirani z namenom kasnejše preprodaje le-teh in se ne uporabljajo z namenom povzročanja neposredne škode uporabnikom telefonskih številk.
Opis
Telegram je ena bolj razširjenih aplikacij za hipno sporočanje in spada v isto kategorijo aplikacij kot so Viber, WhatsApp in Messenger. Račun na Telegram platformi je vezan na telefonsko številko. Postopek registracije računa poteka tako, da uporabnik v aplikaciji vnese svojo telefonsko številko, Telegram pa v naslednjem koraku na to številko pošlje SMS-sporočilo z enkratno kodo, s katero uporabnik verificira svojo številko. Če SMS-sporočilo ni bilo dostavljeno, lahko uporabnik sproži način pošiljanje verifikacijske kode preko telefonskega klica. Uporabnik Telegram računa ne more registrirati brez poznavanja te enkratne kode.
Na SI-CERT smo od sredine leta 2024 prejeli več prijav uporabnikov, ki so ugotovili, da je nekdo registriral račun na Telegram omrežju z njihovo številko, pri čemer te registracije niso opravili sami. Uporabniki v času registracije niso prejeli nobenega SMS sporočila s strani Telegrama, razen v redkih primerih, pri katerih pa enkratne kode niso nikomur sporočili. Ker postopka registracije ni možno zaključiti brez poznavanja verifikacijske kode, na SI-CERT ugotavljamo, da na prenosni poti med zalednim sistemom Telegrama in telefonom uporabnika prihaja do prestrezanja vsebine SMS-sporočil ali telefonskih klicev ali pa da imajo storilci neposredni dostop do zalednega sistema Telegrama. Hkrati smo zabeležili tudi več primerov prevzemov obstoječih Telegram računov slovenskih uporabnikov, ki so se zgodili na način, da so napadalci poskusili registrirati Telegram račun na telefonsko številko, ki je že bila registrirana. V tem primeru Telegram pošlje verifikacijsko kodo naprej preko sistemskega sporočila v aplikaciji, nato pa lahko tudi preko SMS- sporočila in klica. Tudi v teh primerih je napadalcem uspelo prestreči to kodo, s čimer so pridobili popoln dostop do računov, v njih nastavili dodatno geslo in uporabnikom onemogočili nadaljnji dostop.
Tekom preiskave različnih primerov smo ugotovili, da do prestrezanja ne prihaja na telefonih uporabnikov, npr. preko zlonamerne programske opreme, prav tako ne gre za t.i. “SIM swap” napad, pri katerem napadalci s strani operaterja pridobijo SIM-kartico za neko telefonsko številko. Nadalje smo ugotovili, da v večini primerov v času registracije do omrežja slovenskega operaterja ni prišlo nobeno sporočilo ali klic za predmetno telefonsko številko. Ti podatki kažejo na to, da do prestrezanja komunikacije najverjetneje prihaja v zalednem sistemu Telegrama ali pa pri enem od ponudnikov storitev, ki jih Telegram uporablja za pošiljanje SMS-sporočil oz. izvajanje telefonskih klicev. Nadaljnjo analizo zlorabe bi lahko izvedli s sodelovanjem upravljavcev platforme Telegram, žal pa iz Telegrama kljub večkratnim in različnim poskusom vzpostavitve kontakta nismo prejeli odgovora.
Napadalci na prevzetih Telegram računih vedno nastavijo dodatno 2FA geslo, prav tako pa nastavijo nekaj podatkov v profilu, npr. ime, uporabniško ime, kratek opis (bio) ter profilno fotografijo. Ti podatki izgledajo izbrani povsem naključno, brez nekega vzorca, in ne vsebujejo osebnih podatkov dejanskih uporabnikov telefonskih številk. V večini primerov ti računi nato ostanejo neaktivni dalj časa, običajno vsaj mesec dni, v nekaterih primerih pa so ti računi kmalu po kreiranju izbrisani, včasih že v manj kot enem dnevu. Zabeležili smo tudi primere, ko se je vzorec kreiranja računa po nekaj mesecih od izbrisa računa ponovil. V primerih, ko pride do prevzema že obstoječega računa, pa po trenutno znanih informacijah napadalci poleg že navedenih aktivnosti izbrišejo vse obstoječe kontakte in pogovore. V nobenem od dosedaj obravnavnih primerov ni prišlo do poskusa vzpostavitve komunikacije iz zlorabljenega računa z enim od obstoječih kontaktov uporabnika.
Glede na te aktivnosti menimo, da ti računi niso kreirani oz. prevzeti z namenom izvajanja škodljivih aktivnosti, ki bi bile usmerjene neposredno proti uporabnikom telefonskih številk in njihovim kontaktom. Glede na dodatno pridobljene informacije so ti računi najverjetneje ustvarjeni z namenom kasnejše preprodaje le-teh na črnem trgu. Kupci teh računov lahko le-te uporabijo za različne dejavnosti ne Telegram omrežju, med drugim tudi za izvajanje nelegalnih aktivnosti (npr. pošiljanje spam sporočil, phishing napade, investicijske prevare ipd.). Na SI-CERT sicer do sedaj še nismo naleteli na tak primer, da bi to lahko potrdili ali ovrgli.
Ukrepi
Če imate Telegram račun, ga zaščitite z geslom! Pri računih, ki so zaščiteni z geslom, ne prihaja do prevzemov, zato predvidevamo, da napadalci ne razpolagajo z možnostjo obhoda te zaščite.
Je pa možno, da vam v primeru nastavljenega gesla le-tega poskušajo ukrasti preko phishing napada, npr. da vam pošljejo sporočilo, ki izgleda, kot da je prišlo iz nekega uradnega Telegram kanala.
V primeru, da imate Telegram račun zaščiten z geslom, se lahko zgodi, da napadalci sprožijo postopek ponastavitve računa. O tem vas Telegram obvesti s sistemskim obvestilom, vi pa imate 7 dni časa, da postopek ponastavitve prekinete. Navodila za prekinitev postopka so v sistemskem obvestilu.
Če nimate Telegram računa, lahko kreiranje Telegram računa s strani neznanih oseb preprečite zgolj tako, da sami kreirate Telegram račun s svojo telefonsko številko in ga zaščitite z geslom. Kakšen drug način, kako bi lahko preprečili kreiranje Telegram računa z vašo telefonsko številko brez vaše vednosti, nam ni znan.
V primeru, da so vam že prevzeli Telegram račun, ali pa ste ugotovili, da je bil kreiran račun z vašo telefonsko številko, lahko pošljete prijavo zlorabe na abuse@telegram.org ali preko obrazca na https://telegram.org/support. Vendar pa opozarjamo, da v do sedaj obravnavanih primerih uporabniki še nikoli niso prejeli povratnega odgovora s strani Telegrama. Poleg tega lahko poskusite prevzeti sporni račun tako, da prek Telegram aplikacije opravite postopek registracije računa s svojo telefonsko številko. Ker so prevzeti računi zaščiteni z geslom, lahko tekom postopka izberete možnost ponastavitve računa. Poleg tega obstaja možnost, da vam bo za vašo telefonsko številko izpisalo, da je blokirana (“This phone number is banned”). Kakšne druge možnosti za prevzem ali izbris računa nam niso znane.
Prav tako bodite pozorni pri komunikaciji s kakšnim od vaših kontaktov na Telegramu , saj obstaja možnost, da s predmetnim računom upravlja tretja oseba. V primeru neobičajne komunikacije ali spremembe glede na običajen potek komunikacije, preverite kontakt preko neodvisnega kanala (npr. s telefonskim klicem ali emailom). V primeru vzpostavitve komunikacije s strani računa, ki je v upravljanju tretje osebe, nam to sporočite na cert@cert.si.
Na SI-CERT trenutno aktivno spremljamo situacijo. V primeru prejema novih dokazov in informacij bomo dopolnili to obvestilo.
Nekaj primerov lažnih profilov si lahko pogledate v članku na strani Varni na internetu, kjer boste našli tudi odgovore na nekaj najpogostejših vprašanj.