Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете
Всем привет! Меня зовут Альберт Базалеев, я эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений — проект Варежка, это софт, который защищает telegram-каналы и корпоративные telegram-аккаунты от злоумышленников.
Сегодня расскажу, какие «дырки» есть в telegram-каналах (которые так любят пиарить здесь на vc.ru) и к чему может привести легкомысленность в вопросах защиты.
Мессенджер Telegram предоставляет большие возможности для бизнеса. И связь с сотрудниками с помощью групповых и закрытых чатов, и видеозвонки с телефонией, и доступное хранение документации, и раскрутка бренда.
Тысячи компаний в рунете используют Telegram как корпоративное СМИ: публикуют контент, делятся пресс-релизами, формируют собственную повестку.
Однако, чем популярнее канал и чем больше компания, тем больше вероятность взлома. Сложно пройти мимо того, что вкусное и так плохо лежит.
Потеря доступа к аккаунту администратора канала даже на короткий срок может привести к серьезным последствиям. Как минимум придется заново собирать подписчиков, как максимум — рискуете потерять не только деньги, но и репутацию.
Зачем «угонять» аккаунт?
После взлома канал можно выгодно перепродать. Цена зависит от количества подписчиков и известности канала. Например, аккаунт Reddit с 235 тысячами подписчиков перепродали за 1,5 миллиона рублей. Еще вариант — предложить создателю вернуть канал за доплату или шантажировать «сливом» конфиденциальной информации, скопированной из telegram-аккаунта владельца канала.
Либо злоумышленник может переделать аккаунт, поменяв практически все: от аватара до направленности контента. Неизменной остается аудитория. Злоумышленник продолжает размещать публикации и продавать рекламные места.
В крайнем случае канал за бесценок продают какому-нибудь онлайн-казино или размещают бота, который генерирует трафик на «серые» площадки.
Кстати, целью злоумышленников может быть не только угон канала, но и его удаление, если контент мешает конкурентам. Удаление канала — это отдельный вид атаки непосредственно на сам канал, а не на аккаунт администратора
Как взламывают каналы
Случаи угона постоянно появляются в соцсетях и СМИ. О реальных убытках редко пишут, но потерять канал с аудиторией 200 тысяч даже на один месяц — ситуация не из приятных. А возможный ущерб репутации вообще сложно оценить.
Способов завладеть аккаунтом — множество. Чтобы знать, как защищаться, полезно понимать способы атаки. Расскажу о нескольких.
Перехват SMS
Получение доступа к номеру телефона, привязанного к telegram-аккаунту администратора — одна из приоритетных задач для злоумышленников. Как правило, физический доступ к сим-карте и телефону отсутствует. Поэтому тактикой злоумышленников является удаленный перехват SMS, чтобы создать новый сеанс работы в аккаунте.
Некоторые операторы связи ранее предоставляли возможность чтения SMS из личного кабинета. Перехват SMS до сих пор возможен с использованием фейковой базовой станции. А еще в практике случалось, что доступ к содержанию SMS получали через сторонние приложения, установленные на смартфоне. И это не исчерпывающий список атак через перехват SMS!
При потере управления номером, привязанного к аккаунту, единственным препятствием к содержимому аккаунта становится пароль — двухфакторная аутентификация. Но не забывайте, что атаки на telegram-аккаунты параллельно осуществляются с получением доступа к почте. Обычно через привязанную к аккаунту почту злоумышленники удаляют старый пароль и ставят свой.
Фишинг
Приходит ссылка с запросом на подтверждение личности от «официального» аккаунта Telegram. При переходе появляется фейковая веб-версия, мало чем отличающаяся от оригинала. Форма авторизации собирает данные и пересылает их злоумышленникам. На стороне злоумышленников находится робот, который автоматически и «незаметно» создает новую сессию. А через пару дней все сессии аккаунта предыдущего владельца будут завершены, после чего произойдет смена реквизитов доступа.
Зараженные файлы
Мошенник под видом покупки рекламы кидает в чат ссылку на документ MS Word, при открытии которого эксплуатируется уязвимость и производится запуск вредоносной программы. Таким образом злоумышленник перехватывает сессию и угоняет аккаунт.
В более простых версиях компьютерных атак активно используются макросы с элементами фишинга. При открытии документа отобразится надпись, что на вашем компьютере используется старая версия MS Office, и для просмотра содержания документа необходимо разрешить выполнение макросов. После активации макросов запускается вредоносная программа.
Раньше был популярен способ в использовании в имени файла вредоносной программы специального Unicode-символа U+202E (так называемый RLO, Right-To-Left Override), который может изменить направление текста справа налево. Например, файл с именем «реклама.'U+202E’cod.exe» в Telegram выглядел как «реклама.exe.doc». Таким образом, неподготовленный владелец канала запросто мог открыть такой «документ». Не все знают, что расширение exe также можно заменить на другие внешне «безопасные» форматы, и файл программы будет запускаться.
И это лишь небольшая часть того, что могут предпринять злоумышленники. Давно не используются прямые атаки. Современные злоумышленники используют хитрую многоходовку, поэтапно и кропотливо собирая информацию о владельце канала. А затем наносят внезапный удар.
Маскировка фейковых аккаунтов под Saved Messages
Пользователю пересылается сообщение, которое тут же удаляется. При дальнейшем сохранении в «Избранное» есть риск отправить важные данные в фейковую папку. Telegram уже пофиксил такую «дырку», но я пишу и о ней тоже, чтобы вы понимали принцип: способы взлома бывают разные.
Ущерб от взломов
Хакеры развиваются: с каждым месяцем количество способов взлома только увеличивается. Примером может служить описанная сайтом Daily Storm ситуация с каналом «Camera Cloud», который удалось угнать с помощью пересылки админу зараженного файла. В результате владелец потерял доступ к аккаунту.
Мошенники изменили название аккаунта на «Продажа каналов», все размещенные посты удалили. Владельцу предложили выкупить канал за 20 тысяч рублей, но он отказался. Пришлось регистрировать новый аккаунт и с нуля собирать аудиторию.
Если такой ущерб хакеры могут нанести рядовому пользователю, корпорации рискуют еще больше. Потеряли канал — досадно. Но кроме этого может оказаться в публичном доступе важная информация: начиная от готовящихся акций до баз данных клиентов. От имени компании могут рассылать спам или обмануть контрагентов.
Такие кейсы не публичны, и я не могу о них рассказывать, но случаи были, и последствия для компаний были весьма тяжелыми.
Как защититься от взлома?
Используйте отдельный номер для аккаунта
Зарегистрируйте отдельную сим-карту для канала. Звоните на нее раз в 100 дней, если не пользуетесь этой симкой. В противном случае оператор может ее отключить или перепродать номер. Что касается использования сервисов приема SMS на иностранные номера телефонов, то не рекомендую ими пользоваться. Бывают случаи, что доступ к сим-карте необходим, но увы — сим-карты нет.
Также рекомендую не регистрировать номер на свои данные. Лучше зарегистрировать на родственника, чтобы в случае необходимости сим-карту можно было восстановить у оператора сотовой связи. Проверяйте регулярно, нет ли номера в системе GetContact и Numbuster, чтобы была уверенность, что номер никто не найдет по фактическому владельцу.
Не делайте звонков со своего личного телефона на номера, к которым привязаны аккаунты с вашими каналами. Не давайте такие номера телефонов своим знакомым.
Скройте номер в Настройках от посторонних
Запретите доступ Telegram к своим контактам. На вкладке «Конфиденциальность и безопасность» укажите, что ваш номер не будет никому отображаться, и найти по нему вас смогут только контакты из списка.
Не забывайте устанавливать на каждый аккаунт двухфакторную аутентификацию
Если умеете безопасно хранить пароли, то рекомендую не привязывать почту к аккаунту — это дополнительный риск сброса пароля. Но если решили привязать почту к аккаунту, то используйте защищенный почтовый сервис с поддержкой двухфакторной авторизации (с использованием другого номера телефона).
Не переходите по ссылкам
Даже если она пришла от знакомого и ссылка не отображается в предпросмотре, скопируйте ее и изучите. Всегда проверяйте ссылки!
Переходить по ссылке рекомендую только внутри виртуальной машины с использованием VPN (чтобы злоумышленник не узнал ваш реальный IP-адрес). Открывайте файлы только в песочнице. Не бойтесь требовать информацию и файлы в «правильном» и удобном для вас формате.
Помните, что Telegram не требует от пользователя подтверждения личности
У официального представителя мессенджера обязательно стоит голубая галочка возле никнейма. В процессе общения в чатах предоставляйте минимум личной информации о себе.
Установите пароли на ваши сим-карту и телефон
Если потеряете телефон, но на нем пароль, то мошенники не смогут угнать аккаунты, привязанные к этому номеру. А лучше заведите отдельный телефон и храните его в безопасном месте.
Любопытный факт
Некоторые администраторы сильно заморачиваются над тем, чтобы точно знать, что сим-карта постоянно находится на связи, чтобы не допустить ее несанкционированного отключения из сети.
Для этого покупают китайские модемы и используют скрипты, которые постоянно мониторят уровень сигнала базовой станции оператора связи, а также к каким базовым станциям подключается симка. В случае потери связи система уведомляет о несанкционированной утрате сигнала вышки. Серьезный подход, не находите?
И наконец, не забывайте периодически проверять список активных сессий (сеансов) ваших аккаунтов. Угон аккаунта, как правило, связан с созданием несанкционированной сессии аккаунта.
Вот такие советы.
Проверьте по этому списку, все ли методы защиты вы используете. Опытные безопасники понимают, что этих мер не будет достаточно, если у вас в компании сотни точек атаки (сотни сотрудников пользуются telegram, например) — здесь нужен комплекс специальных мероприятий, и без софта не обойтись.
Но для защиты небольших проектов этого на 99% достаточно.
Поделитесь в комментариях, есть ли у вас телеграм-каналы? Как защищаете? Сталкивались ли со взломом?
Как изложить три строчки банальностей на десять экранов.
у меня детям в школе (5 и 7 класс) памятку по безопасности в интернете выдали, напомнило)
тем не менее крупные каналы и у супер гениальных админов ни раз уводили каналы
По поводу банальностей :).
Обычно те, кто начинает развивать бизнес в Telegram, создают канал со своего активного аккаунта, номер телефона которого известен всем. И документы принимают на ура. Да и практика показывает, что админы каналов далеко не всегда грамотные технари, которые вообще задумываются об угрозах безопасности.
А еще есть такая штука: запустили канал как есть, и потом руководствуются принципом "не трогай, пока работает". Это я о большинстве.
обычно вообще никто не заморачивается с безопасностью пока петух в жопу не клюнет. Классика
Админы начинают делать бэкап когда первый раз бэкап не сработал. Здесь аналогично
Во многих фирмах понимание безопасности - это охранник у двери. Причем печальная ситуация даже у крупных компаний. И как случится какой-то инцидент, вот тогда и начинают репу чесать.
Да, такие вещи полезно знать. Особенно тем, кто строит бизнес в телеграм. Да и не только судя по всему. Спасибо за материал
Очень рад, что в публикации Вы выделили что-то для себя полезное
Толково.
Тем более, что из обучателей тг бизнеса никто о мерах безопасности не сообщает в своих курсах/методичках.
Только у одной девчонки видел здравый совет делать 3 симки админов на канал. 2 с полными правами и нигде их не светить.
3ю с частичными правами и для общения в тг среде, ее указывать в описании канала.
Если и взломают, то канал не угонят.
Спасибо за отзыв. Понимание проблем безопасности приходит только тогда, когда это прочувствовал на себе. Собственно поэтому в методичках так мало внимания уделяется вопросу организации информационной безопасности. Многие с этой проблемой просто не встречались.
Что касается отдельных администраторов, то это нормальный подход. Кстати, у нас был кейс, когда канал не угнали, но взломанный админ удалял подписчиков и писал гадости. После этого мы также ввели дополнительные меры, но там уже в решении использовалась дополнительная программная надстройка над аккаунтами. Совершенно другой уровень безопасности.
У нас канал увели именно через файл с вирусом, двуфакторки не было. Пока развивали, это казалось не приоритетной задачей. Такие дела
Довольно частый кейс. Много подписчиков было? Аудиторию удалось восстановить?
а какие варианты восстановления аудитории возможны?
Варианты:
1) вести сеть связанных Telegram-каналов. При угоне одного из каналов, информировать аудиторию через свою личную сетку или сеть партнерских каналов.
2) желательно вести каналы не только в telegram, но и делать кросс-постинг на других площадках. Большая вероятность того, что аудитория будет пересекаться. И с других площадок уже информировать.
а при угоне канала поддержка телеграм не поможет?
Как правило поддержка не помогает в этих вопросах. Из практики сложилось такое впечатление о позиции telegram:
Аккаунт Ваш? Канал привязан был к Вашему аккаунту? Ну, вот сами и защищайте.
гм. понятно. благодарю
На всякий случай дополню. Администраторы каналов также сталкиваются с фейковыми массовыми жалобами на контент. Такую атаку злоумышленники применяют для того, чтобы заблокировать канал. Именно в этот момент поддержка может помочь. Но в случае угона, поддержка нам ничем не помогала.
спс
Около 15-17к, все живые без накруток, вложили много сил и средств. Нет не удалось
Очень жаль! Программы, которые крадут сессии Телеграмма, находятся в открытом доступе (так называемые стилеры). Поэтому напакостить может даже школьник со средними знаниями.
В 2021 году очень неполиткорректные картинки.
Нет ни одного азиата и одноногой женщины
удалено
пригодится. посмотрю ваш сервис, интересно
Да, конечно. Если будут вопросы, то я на связи.
—--—
Комментарий удален модератором
Надеюсь, что она Вам поможет развивать и сохранить бизнес
О некоторых моментах защиты не задумывалась, спасибо
Рад, что Вам понравился материал. Будут вопросы, пишите, постараюсь помочь.
+