Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Всем привет! Меня зовут Альберт Базалеев, я эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений — проект Варежка, это софт, который защищает telegram-каналы и корпоративные telegram-аккаунты от злоумышленников.

Сегодня расскажу, какие «дырки» есть в telegram-каналах (которые так любят пиарить здесь на vc.ru) и к чему может привести легкомысленность в вопросах защиты.

Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Мессенджер Telegram предоставляет большие возможности для бизнеса. И связь с сотрудниками с помощью групповых и закрытых чатов, и видеозвонки с телефонией, и доступное хранение документации, и раскрутка бренда.

Тысячи компаний в рунете используют Telegram как корпоративное СМИ: публикуют контент, делятся пресс-релизами, формируют собственную повестку.

Однако, чем популярнее канал и чем больше компания, тем больше вероятность взлома. Сложно пройти мимо того, что вкусное и так плохо лежит.

Потеря доступа к аккаунту администратора канала даже на короткий срок может привести к серьезным последствиям. Как минимум придется заново собирать подписчиков, как максимум — рискуете потерять не только деньги, но и репутацию.

Зачем «угонять» аккаунт?

После взлома канал можно выгодно перепродать. Цена зависит от количества подписчиков и известности канала. Например, аккаунт Reddit с 235 тысячами подписчиков перепродали за 1,5 миллиона рублей. Еще вариант — предложить создателю вернуть канал за доплату или шантажировать «сливом» конфиденциальной информации, скопированной из telegram-аккаунта владельца канала.

Либо злоумышленник может переделать аккаунт, поменяв практически все: от аватара до направленности контента. Неизменной остается аудитория. Злоумышленник продолжает размещать публикации и продавать рекламные места.

В крайнем случае канал за бесценок продают какому-нибудь онлайн-казино или размещают бота, который генерирует трафик на «серые» площадки.

Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Кстати, целью злоумышленников может быть не только угон канала, но и его удаление, если контент мешает конкурентам. Удаление канала — это отдельный вид атаки непосредственно на сам канал, а не на аккаунт администратора

Как взламывают каналы

Случаи угона постоянно появляются в соцсетях и СМИ. О реальных убытках редко пишут, но потерять канал с аудиторией 200 тысяч даже на один месяц — ситуация не из приятных. А возможный ущерб репутации вообще сложно оценить.

Способов завладеть аккаунтом — множество. Чтобы знать, как защищаться, полезно понимать способы атаки. Расскажу о нескольких.

Перехват SMS

Получение доступа к номеру телефона, привязанного к telegram-аккаунту администратора — одна из приоритетных задач для злоумышленников. Как правило, физический доступ к сим-карте и телефону отсутствует. Поэтому тактикой злоумышленников является удаленный перехват SMS, чтобы создать новый сеанс работы в аккаунте.

Некоторые операторы связи ранее предоставляли возможность чтения SMS из личного кабинета. Перехват SMS до сих пор возможен с использованием фейковой базовой станции. А еще в практике случалось, что доступ к содержанию SMS получали через сторонние приложения, установленные на смартфоне. И это не исчерпывающий список атак через перехват SMS!

При потере управления номером, привязанного к аккаунту, единственным препятствием к содержимому аккаунта становится пароль — двухфакторная аутентификация. Но не забывайте, что атаки на telegram-аккаунты параллельно осуществляются с получением доступа к почте. Обычно через привязанную к аккаунту почту злоумышленники удаляют старый пароль и ставят свой.

Фишинг

Приходит ссылка с запросом на подтверждение личности от «официального» аккаунта Telegram. При переходе появляется фейковая веб-версия, мало чем отличающаяся от оригинала. Форма авторизации собирает данные и пересылает их злоумышленникам. На стороне злоумышленников находится робот, который автоматически и «незаметно» создает новую сессию. А через пару дней все сессии аккаунта предыдущего владельца будут завершены, после чего произойдет смена реквизитов доступа.

Зараженные файлы

Мошенник под видом покупки рекламы кидает в чат ссылку на документ MS Word, при открытии которого эксплуатируется уязвимость и производится запуск вредоносной программы. Таким образом злоумышленник перехватывает сессию и угоняет аккаунт.

В более простых версиях компьютерных атак активно используются макросы с элементами фишинга. При открытии документа отобразится надпись, что на вашем компьютере используется старая версия MS Office, и для просмотра содержания документа необходимо разрешить выполнение макросов. После активации макросов запускается вредоносная программа.

Раньше был популярен способ в использовании в имени файла вредоносной программы специального Unicode-символа U+202E (так называемый RLO, Right-To-Left Override), который может изменить направление текста справа налево. Например, файл с именем «реклама.'U+202E’cod.exe» в Telegram выглядел как «реклама.exe.doc». Таким образом, неподготовленный владелец канала запросто мог открыть такой «документ». Не все знают, что расширение exe также можно заменить на другие внешне «безопасные» форматы, и файл программы будет запускаться.

И это лишь небольшая часть того, что могут предпринять злоумышленники. Давно не используются прямые атаки. Современные злоумышленники используют хитрую многоходовку, поэтапно и кропотливо собирая информацию о владельце канала. А затем наносят внезапный удар.

Маскировка фейковых аккаунтов под Saved Messages

Пользователю пересылается сообщение, которое тут же удаляется. При дальнейшем сохранении в «Избранное» есть риск отправить важные данные в фейковую папку. Telegram уже пофиксил такую «дырку», но я пишу и о ней тоже, чтобы вы понимали принцип: способы взлома бывают разные.

Ущерб от взломов

Хакеры развиваются: с каждым месяцем количество способов взлома только увеличивается. Примером может служить описанная сайтом Daily Storm ситуация с каналом «Camera Cloud», который удалось угнать с помощью пересылки админу зараженного файла. В результате владелец потерял доступ к аккаунту.

Мошенники изменили название аккаунта на «Продажа каналов», все размещенные посты удалили. Владельцу предложили выкупить канал за 20 тысяч рублей, но он отказался. Пришлось регистрировать новый аккаунт и с нуля собирать аудиторию.

Если такой ущерб хакеры могут нанести рядовому пользователю, корпорации рискуют еще больше. Потеряли канал — досадно. Но кроме этого может оказаться в публичном доступе важная информация: начиная от готовящихся акций до баз данных клиентов. От имени компании могут рассылать спам или обмануть контрагентов.

Такие кейсы не публичны, и я не могу о них рассказывать, но случаи были, и последствия для компаний были весьма тяжелыми.

Как защититься от взлома?

Используйте отдельный номер для аккаунта

Зарегистрируйте отдельную сим-карту для канала. Звоните на нее раз в 100 дней, если не пользуетесь этой симкой. В противном случае оператор может ее отключить или перепродать номер. Что касается использования сервисов приема SMS на иностранные номера телефонов, то не рекомендую ими пользоваться. Бывают случаи, что доступ к сим-карте необходим, но увы — сим-карты нет.

Также рекомендую не регистрировать номер на свои данные. Лучше зарегистрировать на родственника, чтобы в случае необходимости сим-карту можно было восстановить у оператора сотовой связи. Проверяйте регулярно, нет ли номера в системе GetContact и Numbuster, чтобы была уверенность, что номер никто не найдет по фактическому владельцу.

Не делайте звонков со своего личного телефона на номера, к которым привязаны аккаунты с вашими каналами. Не давайте такие номера телефонов своим знакомым.

Скройте номер в Настройках от посторонних

Запретите доступ Telegram к своим контактам. На вкладке «Конфиденциальность и безопасность» укажите, что ваш номер не будет никому отображаться, и найти по нему вас смогут только контакты из списка.

Не забывайте устанавливать на каждый аккаунт двухфакторную аутентификацию

Если умеете безопасно хранить пароли, то рекомендую не привязывать почту к аккаунту — это дополнительный риск сброса пароля. Но если решили привязать почту к аккаунту, то используйте защищенный почтовый сервис с поддержкой двухфакторной авторизации (с использованием другого номера телефона).

Не переходите по ссылкам

Даже если она пришла от знакомого и ссылка не отображается в предпросмотре, скопируйте ее и изучите. Всегда проверяйте ссылки!

Переходить по ссылке рекомендую только внутри виртуальной машины с использованием VPN (чтобы злоумышленник не узнал ваш реальный IP-адрес). Открывайте файлы только в песочнице. Не бойтесь требовать информацию и файлы в «правильном» и удобном для вас формате.

Помните, что Telegram не требует от пользователя подтверждения личности

У официального представителя мессенджера обязательно стоит голубая галочка возле никнейма. В процессе общения в чатах предоставляйте минимум личной информации о себе.

Установите пароли на ваши сим-карту и телефон

Если потеряете телефон, но на нем пароль, то мошенники не смогут угнать аккаунты, привязанные к этому номеру. А лучше заведите отдельный телефон и храните его в безопасном месте.

Любопытный факт

Некоторые администраторы сильно заморачиваются над тем, чтобы точно знать, что сим-карта постоянно находится на связи, чтобы не допустить ее несанкционированного отключения из сети.

Для этого покупают китайские модемы и используют скрипты, которые постоянно мониторят уровень сигнала базовой станции оператора связи, а также к каким базовым станциям подключается симка. В случае потери связи система уведомляет о несанкционированной утрате сигнала вышки. Серьезный подход, не находите?

И наконец, не забывайте периодически проверять список активных сессий (сеансов) ваших аккаунтов. Угон аккаунта, как правило, связан с созданием несанкционированной сессии аккаунта.

Вот такие советы.

Проверьте по этому списку, все ли методы защиты вы используете. Опытные безопасники понимают, что этих мер не будет достаточно, если у вас в компании сотни точек атаки (сотни сотрудников пользуются telegram, например) — здесь нужен комплекс специальных мероприятий, и без софта не обойтись.

Но для защиты небольших проектов этого на 99% достаточно.

Поделитесь в комментариях, есть ли у вас телеграм-каналы? Как защищаете? Сталкивались ли со взломом?

2727
31 комментарий

Как изложить три строчки банальностей на десять экранов.

21

у меня детям в школе (5 и 7 класс) памятку по безопасности в интернете выдали, напомнило)

5

По поводу банальностей :).

Обычно те, кто начинает развивать бизнес в Telegram, создают канал со своего активного аккаунта, номер телефона которого известен всем. И документы принимают на ура. Да и практика показывает, что админы каналов далеко не всегда грамотные технари, которые вообще задумываются об угрозах безопасности.

А еще есть такая штука: запустили канал как есть, и потом руководствуются принципом "не трогай, пока работает". Это я о большинстве.

3

обычно вообще никто не заморачивается с безопасностью пока петух в жопу не клюнет. Классика

5

Админы начинают делать бэкап когда первый раз бэкап не сработал. Здесь аналогично

2

Во многих фирмах понимание безопасности - это охранник у двери. Причем печальная ситуация даже у крупных компаний. И как случится какой-то инцидент, вот тогда и начинают репу чесать.

Да, такие вещи полезно знать. Особенно тем, кто строит бизнес в телеграм. Да и не только судя по всему. Спасибо за материал

3