Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Всем привет! Меня зовут Альберт Базалеев, я эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений — проект Варежка, это софт, который защищает telegram-каналы и корпоративные telegram-аккаунты от злоумышленников.

Сегодня расскажу, какие «дырки» есть в telegram-каналах (которые так любят пиарить здесь на vc.ru) и к чему может привести легкомысленность в вопросах защиты.

Мессенджер Telegram предоставляет большие возможности для бизнеса. И связь с сотрудниками с помощью групповых и закрытых чатов, и видеозвонки с телефонией, и доступное хранение документации, и раскрутка бренда.

Тысячи компаний в рунете используют Telegram как корпоративное СМИ: публикуют контент, делятся пресс-релизами, формируют собственную повестку.

Однако, чем популярнее канал и чем больше компания, тем больше вероятность взлома. Сложно пройти мимо того, что вкусное и так плохо лежит.

Потеря доступа к аккаунту администратора канала даже на короткий срок может привести к серьезным последствиям. Как минимум придется заново собирать подписчиков, как максимум — рискуете потерять не только деньги, но и репутацию.

После взлома канал можно выгодно перепродать. Цена зависит от количества подписчиков и известности канала. Например, аккаунт Reddit с 235 тысячами подписчиков перепродали за 1,5 миллиона рублей. Еще вариант — предложить создателю вернуть канал за доплату или шантажировать «сливом» конфиденциальной информации, скопированной из telegram-аккаунта владельца канала.

Либо злоумышленник может переделать аккаунт, поменяв практически все: от аватара до направленности контента. Неизменной остается аудитория. Злоумышленник продолжает размещать публикации и продавать рекламные места.

В крайнем случае канал за бесценок продают какому-нибудь онлайн-казино или размещают бота, который генерирует трафик на «серые» площадки.

Кстати, целью злоумышленников может быть не только угон канала, но и его удаление, если контент мешает конкурентам. Удаление канала — это отдельный вид атаки непосредственно на сам канал, а не на аккаунт администратора

Случаи угона постоянно появляются в соцсетях и СМИ. О реальных убытках редко пишут, но потерять канал с аудиторией 200 тысяч даже на один месяц — ситуация не из приятных. А возможный ущерб репутации вообще сложно оценить.

Способов завладеть аккаунтом — множество. Чтобы знать, как защищаться, полезно понимать способы атаки. Расскажу о нескольких.

Перехват SMS

Получение доступа к номеру телефона, привязанного к telegram-аккаунту администратора — одна из приоритетных задач для злоумышленников. Как правило, физический доступ к сим-карте и телефону отсутствует. Поэтому тактикой злоумышленников является удаленный перехват SMS, чтобы создать новый сеанс работы в аккаунте.

Некоторые операторы связи ранее предоставляли возможность чтения SMS из личного кабинета. Перехват SMS до сих пор возможен с использованием фейковой базовой станции. А еще в практике случалось, что доступ к содержанию SMS получали через сторонние приложения, установленные на смартфоне. И это не исчерпывающий список атак через перехват SMS!

При потере управления номером, привязанного к аккаунту, единственным препятствием к содержимому аккаунта становится пароль — двухфакторная аутентификация. Но не забывайте, что атаки на telegram-аккаунты параллельно осуществляются с получением доступа к почте. Обычно через привязанную к аккаунту почту злоумышленники удаляют старый пароль и ставят свой.

Фишинг

Приходит ссылка с запросом на подтверждение личности от «официального» аккаунта Telegram. При переходе появляется фейковая веб-версия, мало чем отличающаяся от оригинала. Форма авторизации собирает данные и пересылает их злоумышленникам. На стороне злоумышленников находится робот, который автоматически и «незаметно» создает новую сессию. А через пару дней все сессии аккаунта предыдущего владельца будут завершены, после чего произойдет смена реквизитов доступа.

Зараженные файлы

Мошенник под видом покупки рекламы кидает в чат ссылку на документ MS Word, при открытии которого эксплуатируется уязвимость и производится запуск вредоносной программы. Таким образом злоумышленник перехватывает сессию и угоняет аккаунт.

В более простых версиях компьютерных атак активно используются макросы с элементами фишинга. При открытии документа отобразится надпись, что на вашем компьютере используется старая версия MS Office, и для просмотра содержания документа необходимо разрешить выполнение макросов. После активации макросов запускается вредоносная программа.

Раньше был популярен способ в использовании в имени файла вредоносной программы специального Unicode-символа U+202E (так называемый RLO, Right-To-Left Override), который может изменить направление текста справа налево. Например, файл с именем «реклама.'U+202E’cod.exe» в Telegram выглядел как «реклама.exe.doc». Таким образом, неподготовленный владелец канала запросто мог открыть такой «документ». Не все знают, что расширение exe также можно заменить на другие внешне «безопасные» форматы, и файл программы будет запускаться.

И это лишь небольшая часть того, что могут предпринять злоумышленники. Давно не используются прямые атаки. Современные злоумышленники используют хитрую многоходовку, поэтапно и кропотливо собирая информацию о владельце канала. А затем наносят внезапный удар.

Маскировка фейковых аккаунтов под Saved Messages

Пользователю пересылается сообщение, которое тут же удаляется. При дальнейшем сохранении в «Избранное» есть риск отправить важные данные в фейковую папку. Telegram уже пофиксил такую «дырку», но я пишу и о ней тоже, чтобы вы понимали принцип: способы взлома бывают разные.

Хакеры развиваются: с каждым месяцем количество способов взлома только увеличивается. Примером может служить описанная сайтом Daily Storm ситуация с каналом «Camera Cloud», который удалось угнать с помощью пересылки админу зараженного файла. В результате владелец потерял доступ к аккаунту.

Мошенники изменили название аккаунта на «Продажа каналов», все размещенные посты удалили. Владельцу предложили выкупить канал за 20 тысяч рублей, но он отказался. Пришлось регистрировать новый аккаунт и с нуля собирать аудиторию.

Если такой ущерб хакеры могут нанести рядовому пользователю, корпорации рискуют еще больше. Потеряли канал — досадно. Но кроме этого может оказаться в публичном доступе важная информация: начиная от готовящихся акций до баз данных клиентов. От имени компании могут рассылать спам или обмануть контрагентов.

Такие кейсы не публичны, и я не могу о них рассказывать, но случаи были, и последствия для компаний были весьма тяжелыми.

Используйте отдельный номер для аккаунта

Зарегистрируйте отдельную сим-карту для канала. Звоните на нее раз в 100 дней, если не пользуетесь этой симкой. В противном случае оператор может ее отключить или перепродать номер. Что касается использования сервисов приема SMS на иностранные номера телефонов, то не рекомендую ими пользоваться. Бывают случаи, что доступ к сим-карте необходим, но увы — сим-карты нет.

Также рекомендую не регистрировать номер на свои данные. Лучше зарегистрировать на родственника, чтобы в случае необходимости сим-карту можно было восстановить у оператора сотовой связи. Проверяйте регулярно, нет ли номера в системе GetContact и Numbuster, чтобы была уверенность, что номер никто не найдет по фактическому владельцу.

Не делайте звонков со своего личного телефона на номера, к которым привязаны аккаунты с вашими каналами. Не давайте такие номера телефонов своим знакомым.

Скройте номер в Настройках от посторонних

Запретите доступ Telegram к своим контактам. На вкладке «Конфиденциальность и безопасность» укажите, что ваш номер не будет никому отображаться, и найти по нему вас смогут только контакты из списка.

Не забывайте устанавливать на каждый аккаунт двухфакторную аутентификацию

Если умеете безопасно хранить пароли, то рекомендую не привязывать почту к аккаунту — это дополнительный риск сброса пароля. Но если решили привязать почту к аккаунту, то используйте защищенный почтовый сервис с поддержкой двухфакторной авторизации (с использованием другого номера телефона).

Не переходите по ссылкам

Даже если она пришла от знакомого и ссылка не отображается в предпросмотре, скопируйте ее и изучите. Всегда проверяйте ссылки!

Переходить по ссылке рекомендую только внутри виртуальной машины с использованием VPN (чтобы злоумышленник не узнал ваш реальный IP-адрес). Открывайте файлы только в песочнице. Не бойтесь требовать информацию и файлы в «правильном» и удобном для вас формате.

Помните, что Telegram не требует от пользователя подтверждения личности

У официального представителя мессенджера обязательно стоит голубая галочка возле никнейма. В процессе общения в чатах предоставляйте минимум личной информации о себе.

Установите пароли на ваши сим-карту и телефон

Если потеряете телефон, но на нем пароль, то мошенники не смогут угнать аккаунты, привязанные к этому номеру. А лучше заведите отдельный телефон и храните его в безопасном месте.

Любопытный факт

Некоторые администраторы сильно заморачиваются над тем, чтобы точно знать, что сим-карта постоянно находится на связи, чтобы не допустить ее несанкционированного отключения из сети.

Для этого покупают китайские модемы и используют скрипты, которые постоянно мониторят уровень сигнала базовой станции оператора связи, а также к каким базовым станциям подключается симка. В случае потери связи система уведомляет о несанкционированной утрате сигнала вышки. Серьезный подход, не находите?

Вот такие советы.

Проверьте по этому списку, все ли методы защиты вы используете. Опытные безопасники понимают, что этих мер не будет достаточно, если у вас в компании сотни точек атаки (сотни сотрудников пользуются telegram, например) — здесь нужен комплекс специальных мероприятий, и без софта не обойтись.

Но для защиты небольших проектов этого на 99% достаточно.

Поделитесь в комментариях, есть ли у вас телеграм-каналы? Как защищаете? Сталкивались ли со взломом?