About Teletype
Join
Marshal STRIMER (Official)
@greedywillfuckurmum
December 3, 2023

Об опасных уязвимостях TG. "Обмани меня" x "Greedy Life".

Шалом! Этот материал мы готовили почти неделю, поэтому жду соответствующего фидбека…

Подготовлено редактором Greedy Life @xornistrimer, а также админом проекта «ОБМАНИ МЕНЯ» @socialqueen.

Выражаем благодарность за помощь в подготовке материала подписчикам Greedy Life с никами:
@whopt @Alejiana @Boghestveniy

…, а также всем, кто принял участие в обсуждении!

Предыстория

В сентябре 2023 года мой заработок в теме OSINT наконец-то вышел на качественно новый уровень, превышающий прожиточный минимум: меня начали приглашать в серьёзные компании в качестве спикера. Я искренне радовалась, что мои знания и навыки наконец-то начали приносить пользу людям в абсолютно легальном контексте. Но радоваться пришлось недолго: в день важного выступления я начала получать огромное количество сообщений с детскими угрозами от каких-то незнакомых хейтеров. Далее, кто-то залогинился в ТГ и основательно нагадил в рабочих чатах от моего имени.

Примечательно, что преступники использовали технологию подмены голоса, но действовали настолько криво, что вместо моего сексуального баритона на войсах звучал голосок одного из исполнителей, который я сразу узнала, его-то мы и нашли самым первым (Константа, шалом👋).

Параллельно злоумышленники активно пенетрировали мою учётную запись на Госуслугах, а за денежки с моих банковских карт в другом городе кто-то катался на такси Яндекс и Сити мобил. Об этой схеме мы тоже обязательно расскажем, но чуть позже, потому что информации очень много, готовим серию коллабораций.

Свидетельство подписчика

Подписчик с ником @Alejiana поделился аналогичной историей из своей практики:

«… Ру номера ломаются. Была ситуация прошлой зимой: так же до коллеги доколебался мамкин подвальный в@гн€ровец. Зашёл на акк без уведомлений и новых сессий, удалял рабочие сообщения и пересылал из разных диалогов в общие чаты и наоборот. Руинил как мог весь рабочий процесс. Через пару недель коллега завела новый акк тоже на рус номер, он и туда проник. Не спасает ни двухфакторка, ничего. Просто беззвучный вход в аккаунт и ни одного лишнего устройства. Даже если закрыть все сеансы и авторизоваться заново — не помогло. Смена паролей, ключей, даже смена номера не помогла выгнать засранца. Потом ещё писал со своего акка и бахвалился тем, что ресурсы выдаются родиной на такое) С тех пор у нас никто не сидит на рус номерах, даже виртуальных… Нервишки потрепал девочке знатно .....».

Признаки проблемы

Когда очередной тролль начинает без видимых на то причин крыть тебя трёхэтажным матом, обещать сделать новогоднюю гирлянду из содержимого твоего пуза, или анонсировать планы на твою мамку, не спеши ввязываться в словесную перепалку. Категорически не рекомендуем открывать сообщения от провокатора, тем более — отвечать на его звонки. На самом деле, преступники таким образом пытаются получить доступ к твоему аккаунту: звонок используется для уточнения IP устройства (Да-да, это всё ещё работает), с которого авторизована жертва, а диалог с таргетом нужен для перехвата сессии, с последующим получением временного или постоянного доступа к учётной записи.

Логика атаки

С позиции Социальной инженерии, первый шаг атакующего — привлечь внимание жертвы к диалогу. Как только таргет повелся на провокацию и зашёл в диалог, его очко, ну то есть, пульт управления цифровой жизнью переходит к команде преступников: начинается атака на сервер по принципу Man In The Middle aka «MITM».

Атака «человек посередине» (MITM) — это форма кибератаки, при которой для перехвата данных используются методы, позволяющие внедриться в существующее подключение или процесс связи.

После захвата сессии преступники могут полностью отжать твой аккаунт, привязав его к другому номеру (если успеют). Если ведёшь канал, можешь внезапно обнаружить, что он тебе больше не принадлежит.

Также у злоумышленников появляются безграничные возможности для различного рода диверсий: рассылка спама компрометирующего характера, типа оскорбления коллегам, знакомым и просто случайным людям, как будто от твоего имени.

Более того, злодеи могут откопать в диалогах дикпики и распространить «клубничку» по всем твоим родственникам, в лучших традициях сами знаете кого 😛.

Также из неприятного: если ты покупал премку [через крипту, или сохранил CVV], у преступников появится доступ ещё и к твоим платежным данным.

Как следствие, даже после того, как ты пофиксишь проблему с Телегой у тебя могут подворовывать деньги с банковских счетов.

Какие уязвимости ещё эксплуатируются?

Еще в 2019 году исследователи из Forcepoint Security Labs задокументировали недостатки Telegram, которые ведут к нарушению конфиденциальности пользователей (Источник).

По данным аналитиков, уже тогда эксплуатация определённой уязвимости (Telegram API Bot) позволяла преступникам получить доступ ко всем сообщениям, которые отправляет и получает жертва, с помощью вредоносного софта «GoodSender», написанного с помощью технологии .NET, которая находит активное применение в языке программирования C#. По мнению экспертов, указанная уязвимость имеет непосредственное отношение к методам шифрования Telegram.

С тех пор технологии развились, а полномочия злоумышленников в рамках их несанкционированного использования существенно расширились.

«MITM» в законе.

По состоянию на настоящий момент, установлено, что у представителей определённых профессий сферы ИБ, имеющих отношение к деятельности правоохранительных органов, есть на вооружении ПО, которое позволяет перехватывать сессии жертвы и захватывать цифровые активы таргета, буквально в два клика (Источник).

Примечательно, что исполнителю для выполнения атаки сейчас не требуется особых навыков программирования: перехват пользовательского трафика может выполняться при помощи специального оборудования (СОРМ[?]). Принято считать, что действия такого плана производятся строго по решению судебных органов, направлены на борьбу с терроризмом, незаконным оборотом наркотиков и другими запрещенными видами деятельности.

Правоохранители уверяют, что обычным пользователям «законные» MITM-атаки не представляют опасности, однако мой личный пример, к сожалению, демонстрирует обратную тенденцию [прим. стримера: значит на тебя теперь рептилии охотятся :)]

Для того, чтобы использовать СОРМ необходимо какое-то условно-законное основание для вмешательства в частную жизнь таргета.

С момента начала атаки на всех моих устройствах, имеющих доступ к сети, образовался DNS-редирект с занятной пометкой «228». То есть, с точки зрения системы, я как будто бы имела отношение к незаконному обороту запрещённых препаратов, что в корне не соответствовало действительности. Столь занятная логика компрометации моей персоны может объясняться отказом от сотрудничества с господами из ФСКН (или как там его сейчас называют) с моей стороны, который предшествовал событиям, описанным в начале поста.

Таким образом, моя история наглядно демонстрирует возможный вариант злоупотребления силовиками своими служебными полномочиями, а также является характерным примером того уровня подлости, которым пронизаны отдельные сегменты рынка услуг ИБ в России.

Алгоритм работы преступников.

0 шаг — донос в правоохранительные органы (если атакует «красная» команда)*
— провокация для привлечение внимания; не обязательно негатив или обзывательства, могут прислать наоборот комплимент, или, например, к тебе может неожиданно обратиться кореш Саня, который занял косарь 3 годами ранее, и внезапно загорелся желанием вернуть «должок».
— прозвон (если звонки открыты)

— перехват сессии, получение доступа;
— диверсионная работа.

*Прим.: принадлежность к той или иной профессии не является обязательным условием успеха атаки: как показало наше исследование, гражданские ИБ специалисты тоже обладают навыками, достаточными для незаконных действий такого плана.

Как защититься?

  1. Убить скомпрометированную сессию как можно скорее;
  2. Отключать звонки!
  3. Заменить РФ номер, к которому привязан аккаунт, на любую иностранную сим-карту, кроме E-Sim (отлично подходит Англия, Латвия);
  4. Пользоваться мессенджерами на базе открытого кода Телеграм, но с отличной внутренней архитектурой (рекламировать не будем, гугл подскажет и сориентирует);
  5. Если ведёшь канал, сделай бота для обратной связи, чтобы по рабочим вопросам писали строго туда;
  6. Напоследок, ударь себя по голове 3 раза и больше никогда не ведись на дешевые провокации, даже под видом комплимента или предложения о работе за баснословные шекели 💷.

Greedy Life — твой кошерный канал об онлайн-андеграунде!

ОБМАНИ МЕНЯThe Art of Human hacking: Независимый исследовательский проект о Социальной Инженерии.

Strimer’s Weekdays — мысли главного редактора Greedy Life и стримы по 2b2t каждую неделю!

Если тебе нравится контент, задонать рогатке по кнопке ниже. От тысячи рублей хорошая скидка на рекламу!

Marshal STRIMER (Official)
December 3, 2023, 19:04
0 views
0 reactions
0 replies
0 reposts