Потерять канал в телеграме и заодно репутацию? Это легче, чем вы думаете

Всем привет! Меня зовут Альберт Базалеев, я эксперт в сфере информационной безопасности бизнеса. Одно из моих направлений — проект Варежка, это софт, который защищает telegram-каналы и корпоративные telegram-аккаунты от злоумышленников.

Сегодня расскажу, какие «дырки» есть в telegram-каналах (которые так любят пиарить здесь на vc.ru) и к чему может привести легкомысленность в вопросах защиты.

Мессенджер Telegram предоставляет большие возможности для бизнеса. И связь с сотрудниками с помощью групповых и закрытых чатов, и видеозвонки с телефонией, и доступное хранение документации, и раскрутка бренда.

Тысячи компаний в рунете используют Telegram как корпоративное СМИ: публикуют контент, делятся пресс-релизами, формируют собственную повестку.

Однако, чем популярнее канал и чем больше компания, тем больше вероятность взлома. Сложно пройти мимо того, что вкусное и так плохо лежит.

Потеря доступа к аккаунту администратора канала даже на короткий срок может привести к серьезным последствиям. Как минимум придется заново собирать подписчиков, как максимум — рискуете потерять не только деньги, но и репутацию.

Зачем «угонять» аккаунт?

После взлома канал можно выгодно перепродать. Цена зависит от количества подписчиков и известности канала. Например, аккаунт Reddit с 235 тысячами подписчиков перепродали за 1,5 миллиона рублей. Еще вариант — предложить создателю вернуть канал за доплату или шантажировать «сливом» конфиденциальной информации, скопированной из telegram-аккаунта владельца канала.

Либо злоумышленник может переделать аккаунт, поменяв практически все: от аватара до направленности контента. Неизменной остается аудитория. Злоумышленник продолжает размещать публикации и продавать рекламные места.

В крайнем случае канал за бесценок продают какому-нибудь онлайн-казино или размещают бота, который генерирует трафик на «серые» площадки.

Кстати, целью злоумышленников может быть не только угон канала, но и его удаление, если контент мешает конкурентам. Удаление канала — это отдельный вид атаки непосредственно на сам канал, а не на аккаунт администратора

Как взламывают каналы

Случаи угона постоянно появляются в соцсетях и СМИ. О реальных убытках редко пишут, но потерять канал с аудиторией 200 тысяч даже на один месяц — ситуация не из приятных. А возможный ущерб репутации вообще сложно оценить.

Способов завладеть аккаунтом — множество. Чтобы знать, как защищаться, полезно понимать способы атаки. Расскажу о нескольких.

Перехват SMS

Получение доступа к номеру телефона, привязанного к telegram-аккаунту администратора — одна из приоритетных задач для злоумышленников. Как правило, физический доступ к сим-карте и телефону отсутствует. Поэтому тактикой злоумышленников является удаленный перехват SMS, чтобы создать новый сеанс работы в аккаунте.

Некоторые операторы связи ранее предоставляли возможность чтения SMS из личного кабинета. Перехват SMS до сих пор возможен с использованием фейковой базовой станции. А еще в практике случалось, что доступ к содержанию SMS получали через сторонние приложения, установленные на смартфоне. И это не исчерпывающий список атак через перехват SMS!

При потере управления номером, привязанного к аккаунту, единственным препятствием к содержимому аккаунта становится пароль — двухфакторная аутентификация. Но не забывайте, что атаки на telegram-аккаунты параллельно осуществляются с получением доступа к почте. Обычно через привязанную к аккаунту почту злоумышленники удаляют старый пароль и ставят свой.

Фишинг

Приходит ссылка с запросом на подтверждение личности от «официального» аккаунта Telegram. При переходе появляется фейковая веб-версия, мало чем отличающаяся от оригинала. Форма авторизации собирает данные и пересылает их злоумышленникам. На стороне злоумышленников находится робот, который автоматически и «незаметно» создает новую сессию. А через пару дней все сессии аккаунта предыдущего владельца будут завершены, после чего произойдет смена реквизитов доступа.

Зараженные файлы

Мошенник под видом покупки рекламы кидает в чат ссылку на документ MS Word, при открытии которого эксплуатируется уязвимость и производится запуск вредоносной программы. Таким образом злоумышленник перехватывает сессию и угоняет аккаунт.

В более простых версиях компьютерных атак активно используются макросы с элементами фишинга. При открытии документа отобразится надпись, что на вашем компьютере используется старая версия MS Office, и для просмотра содержания документа необходимо разрешить выполнение макросов. После активации макросов запускается вредоносная программа.

Раньше был популярен способ в использовании в имени файла вредоносной программы специального Unicode-символа U+202E (так называемый RLO, Right-To-Left Override), который может изменить направление текста справа налево. Например, файл с именем «реклама.'U+202E’cod.exe» в Telegram выглядел как «реклама.exe.doc». Таким образом, неподготовленный владелец канала запросто мог открыть такой «документ». Не все знают, что расширение exe также можно заменить на другие внешне «безопасные» форматы, и файл программы будет запускаться.

И это лишь небольшая часть того, что могут предпринять злоумышленники. Давно не используются прямые атаки. Современные злоумышленники используют хитрую многоходовку, поэтапно и кропотливо собирая информацию о владельце канала. А затем наносят внезапный удар.

Маскировка фейковых аккаунтов под Saved Messages

Пользователю пересылается сообщение, которое тут же удаляется. При дальнейшем сохранении в «Избранное» есть риск отправить важные данные в фейковую папку. Telegram уже пофиксил такую «дырку», но я пишу и о ней тоже, чтобы вы понимали принцип: способы взлома бывают разные.

Ущерб от взломов

Хакеры развиваются: с каждым месяцем количество способов взлома только увеличивается. Примером может служить описанная сайтом Daily Storm ситуация с каналом «Camera Cloud», который удалось угнать с помощью пересылки админу зараженного файла. В результате владелец потерял доступ к аккаунту.

Мошенники изменили название аккаунта на «Продажа каналов», все размещенные посты удалили. Владельцу предложили выкупить канал за 20 тысяч рублей, но он отказался. Пришлось регистрировать новый аккаунт и с нуля собирать аудиторию.

Если такой ущерб хакеры могут нанести рядовому пользователю, корпорации рискуют еще больше. Потеряли канал — досадно. Но кроме этого может оказаться в публичном доступе важная информация: начиная от готовящихся акций до баз данных клиентов. От имени компании могут рассылать спам или обмануть контрагентов.

Такие кейсы не публичны, и я не могу о них рассказывать, но случаи были, и последствия для компаний были весьма тяжелыми.

Как защититься от взлома?

Используйте отдельный номер для аккаунта

Зарегистрируйте отдельную сим-карту для канала. Звоните на нее раз в 100 дней, если не пользуетесь этой симкой. В противном случае оператор может ее отключить или перепродать номер. Что касается использования сервисов приема SMS на иностранные номера телефонов, то не рекомендую ими пользоваться. Бывают случаи, что доступ к сим-карте необходим, но увы — сим-карты нет.

Также рекомендую не регистрировать номер на свои данные. Лучше зарегистрировать на родственника, чтобы в случае необходимости сим-карту можно было восстановить у оператора сотовой связи. Проверяйте регулярно, нет ли номера в системе GetContact и Numbuster, чтобы была уверенность, что номер никто не найдет по фактическому владельцу.

Не делайте звонков со своего личного телефона на номера, к которым привязаны аккаунты с вашими каналами. Не давайте такие номера телефонов своим знакомым.

Скройте номер в Настройках от посторонних

Запретите доступ Telegram к своим контактам. На вкладке «Конфиденциальность и безопасность» укажите, что ваш номер не будет никому отображаться, и найти по нему вас смогут только контакты из списка.

Не забывайте устанавливать на каждый аккаунт двухфакторную аутентификацию

Если умеете безопасно хранить пароли, то рекомендую не привязывать почту к аккаунту — это дополнительный риск сброса пароля. Но если решили привязать почту к аккаунту, то используйте защищенный почтовый сервис с поддержкой двухфакторной авторизации (с использованием другого номера телефона).

Не переходите по ссылкам

Даже если она пришла от знакомого и ссылка не отображается в предпросмотре, скопируйте ее и изучите. Всегда проверяйте ссылки!

Переходить по ссылке рекомендую только внутри виртуальной машины с использованием VPN (чтобы злоумышленник не узнал ваш реальный IP-адрес). Открывайте файлы только в песочнице. Не бойтесь требовать информацию и файлы в «правильном» и удобном для вас формате.

Помните, что Telegram не требует от пользователя подтверждения личности

У официального представителя мессенджера обязательно стоит голубая галочка возле никнейма. В процессе общения в чатах предоставляйте минимум личной информации о себе.

Установите пароли на ваши сим-карту и телефон

Если потеряете телефон, но на нем пароль, то мошенники не смогут угнать аккаунты, привязанные к этому номеру. А лучше заведите отдельный телефон и храните его в безопасном месте.

Любопытный факт

Некоторые администраторы сильно заморачиваются над тем, чтобы точно знать, что сим-карта постоянно находится на связи, чтобы не допустить ее несанкционированного отключения из сети.

Для этого покупают китайские модемы и используют скрипты, которые постоянно мониторят уровень сигнала базовой станции оператора связи, а также к каким базовым станциям подключается симка. В случае потери связи система уведомляет о несанкционированной утрате сигнала вышки. Серьезный подход, не находите?

И наконец, не забывайте периодически проверять список активных сессий (сеансов) ваших аккаунтов. Угон аккаунта, как правило, связан с созданием несанкционированной сессии аккаунта.

Вот такие советы.

Проверьте по этому списку, все ли методы защиты вы используете. Опытные безопасники понимают, что этих мер не будет достаточно, если у вас в компании сотни точек атаки (сотни сотрудников пользуются telegram, например) — здесь нужен комплекс специальных мероприятий, и без софта не обойтись.

Но для защиты небольших проектов этого на 99% достаточно.

Поделитесь в комментариях, есть ли у вас телеграм-каналы? Как защищаете? Сталкивались ли со взломом?

0
31 комментарий
Написать комментарий...
Dmitri Vinitski

Как изложить три строчки банальностей на десять экранов.

Ответить
Развернуть ветку
Blez Paskal

у меня детям в школе (5 и 7 класс) памятку по безопасности в интернете выдали, напомнило)

Ответить
Развернуть ветку
Roman Bok

тем не менее крупные каналы и у супер гениальных админов ни раз уводили каналы

Ответить
Развернуть ветку
Альберт Базалеев
Автор

По поводу банальностей :).

Обычно те, кто начинает развивать бизнес в Telegram, создают канал со своего активного аккаунта, номер телефона которого известен всем. И документы принимают на ура. Да и практика показывает, что админы каналов далеко не всегда грамотные технари, которые вообще задумываются об угрозах безопасности.

А еще есть такая штука: запустили канал как есть, и потом руководствуются принципом "не трогай, пока работает". Это я о большинстве.

Ответить
Развернуть ветку
Валерий Юров

обычно вообще никто не заморачивается с безопасностью пока петух в жопу не клюнет. Классика

Ответить
Развернуть ветку
Petr

Админы начинают делать бэкап когда первый раз бэкап не сработал. Здесь аналогично

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Во многих фирмах понимание безопасности - это охранник у двери. Причем печальная ситуация даже у крупных компаний. И как случится какой-то инцидент, вот тогда и начинают репу чесать.

Ответить
Развернуть ветку
Pol Bal

Да, такие вещи полезно знать. Особенно тем, кто строит бизнес в телеграм. Да и не только судя по всему. Спасибо за материал

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Очень рад, что в публикации Вы выделили что-то для себя полезное

Ответить
Развернуть ветку
Smart Diplomat

Толково.
Тем более, что из обучателей тг бизнеса никто о мерах безопасности не сообщает в своих курсах/методичках.

Только у одной девчонки видел здравый совет делать 3 симки админов на канал. 2 с полными правами и нигде их не светить.
3ю с частичными правами и для общения в тг среде, ее указывать в описании канала.
Если и взломают, то канал не угонят.

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Спасибо за отзыв. Понимание проблем безопасности приходит только тогда, когда это прочувствовал на себе. Собственно поэтому в методичках так мало внимания уделяется вопросу организации информационной безопасности. Многие с этой проблемой просто не встречались.

Что касается отдельных администраторов, то это нормальный подход. Кстати, у нас был кейс, когда канал не угнали, но взломанный админ удалял подписчиков и писал гадости. После этого мы также ввели дополнительные меры, но там уже в решении использовалась дополнительная программная надстройка над аккаунтами. Совершенно другой уровень безопасности.

Ответить
Развернуть ветку
Mihail Grobov

У нас канал увели именно через файл с вирусом, двуфакторки не было. Пока развивали, это казалось не приоритетной задачей. Такие дела

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Довольно частый кейс. Много подписчиков было? Аудиторию удалось восстановить?

Ответить
Развернуть ветку
Мария Распутина

а какие варианты восстановления аудитории возможны?

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Варианты:
1) вести сеть связанных Telegram-каналов. При угоне одного из каналов, информировать аудиторию через свою личную сетку или сеть партнерских каналов.
2) желательно вести каналы не только в telegram, но и делать кросс-постинг на других площадках. Большая вероятность того, что аудитория будет пересекаться. И с других площадок уже информировать.

Ответить
Развернуть ветку
P.Bloom

а при угоне канала поддержка телеграм не поможет?

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Как правило поддержка не помогает в этих вопросах. Из практики сложилось такое впечатление о позиции telegram:
Аккаунт Ваш? Канал привязан был к Вашему аккаунту? Ну, вот сами и защищайте.

Ответить
Развернуть ветку
P.Bloom

гм. понятно. благодарю

Ответить
Развернуть ветку
Альберт Базалеев
Автор

На всякий случай дополню. Администраторы каналов также сталкиваются с фейковыми массовыми жалобами на контент. Такую атаку злоумышленники применяют для того, чтобы заблокировать канал. Именно в этот момент поддержка может помочь. Но в случае угона, поддержка нам ничем не помогала.

Ответить
Развернуть ветку
P.Bloom

спс

Ответить
Развернуть ветку
Mihail Grobov

Около 15-17к, все живые без накруток, вложили много сил и средств. Нет не удалось

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Очень жаль! Программы, которые крадут сессии Телеграмма, находятся в открытом доступе (так называемые стилеры). Поэтому напакостить может даже школьник со средними знаниями.

Ответить
Развернуть ветку
Мария Карпова

В 2021 году очень неполиткорректные картинки.
Нет ни одного азиата и одноногой женщины

Ответить
Развернуть ветку
Альберт Базалеев
Автор

удалено

Ответить
Развернуть ветку
Наврузжон Нарматов

пригодится. посмотрю ваш сервис, интересно

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Да, конечно. Если будут вопросы, то я на связи.

Ответить
Развернуть ветку
Альберт Базалеев
Автор

—--—

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Альберт Базалеев
Автор

Надеюсь, что она Вам поможет развивать и сохранить бизнес

Ответить
Развернуть ветку
Женя Ворон

О некоторых моментах защиты не задумывалась, спасибо

Ответить
Развернуть ветку
Альберт Базалеев
Автор

Рад, что Вам понравился материал. Будут вопросы, пишите, постараюсь помочь.

Ответить
Развернуть ветку
Наврузжон Нарматов

+

Ответить
Развернуть ветку
28 комментариев
Раскрывать всегда