В 2023 году кому‑то покажется странным, что надо объяснять необходимость установки двухфакторной аутентификации или дополнительных кодов‑паролей на личные устройства и мессенджеры. Но в конце прошлой недели в Татарстане «угнали» учетные записи нескольких десятков крупных руководителей компаний и чиновников, в том числе, в сфере IT. Как до этого дошло, рассказывают специалисты техподдержки ГАУ «ИТ‑парк».
Спокойный пятничный день подходил к концу, когда сразу нескольким нашим сотрудникам поступили звонки от сконфуженных коллег из разных организаций. Они просили выяснить, что за странные сообщения приходят им от коллег. Когда от людей, для которых такие суммы не актуальны, продолжили приходить сообщения с просьбой занять 20 тыс. рублей, мы поняли, что нужно обновить наш мануал.
Что происходит
Схема взлома в этот раз снова банальна: просьба проголосовать в конкурсе. Рассылка шла по контактам телефонной книги взломанного человека. Вы получаете сообщение от своего знакомого/друга/родственника, в котором содержится ссылка. Перейдя по ссылке для голосования (важно: почти всегда ссылка создана при помощи сервиса для сокращения ссылок), вы попадаете на страницу с сообщением «Войдите, чтобы участвовать в голосовании за участников конкурса» и полем для ввода телефона. Номер телефона нужен якобы для подтверждения уникальности голоса. После ввода номера открывается экран для ввода кода подтверждения, который «организаторы конкурса» якобы выслали вам в Telegram.
Если вы введете код, и у вас выключена двухфакторная авторизация Telegram, ваша учетная запись теперь принадлежит злоумышленникам. Они смогут привязать ее к другому телефону, использовать в дальнейшем в новых схемах, скачать данные переписок, потребовать от вас выкуп за возврат аккаунта и т. д. Учитывая факт, что многим нравится использовать мессенджер как файлообменник, очевидно, сколько всего интересного можно увидеть в телефоне. Через вас схема взлома продолжится теперь уже по вашей телефонной книге.
Почему происходит?
Как же произошло, что на банальный, и, казалось бы, очевидный развод повелось такое количество людей, в том числе, серьезных руководителей? Сложилось несколько факторов. Во‑первых, психологический. Если ссылка пришла от серьезного человека, десятки лет работающего в управлении и сфере IT, то мысли не поверить ему приходит, увы, не первой. Второй — психологический фактор. Просьбы проголосовать за конкурсы рисунков приходят тем, у кого есть дети и внуки, поэтому неудивительно, что ради них, не гнушаясь статусом, можно и перейти по ссылочке… В‑третьих, играет роль уже неактуальная вера в Telegram как самый надежный мессенджер, который невозможно прочитать. Так получаем огромное количество украденных учеток и подтверждение, того, что мы все еще живем в постсоветском обществе очень наивных людей. И никакие обзвоны службы безопасности «банков» и других тренеров цинизма не изменят открытые сердца и беззащитные аккаунты нашего населения.
Несмотря на то, что для ИТ‑парка спасение населения от киберугроз не является прямой обязанностью, работа техотдела на какое‑то время замерла. Мы были вынуждены обновить мануал по защите аккаунтов и в очередной раз разослать его не только сотрудникам (среди сотрудников ИТ‑парка, кстати, случаев взлома не было), но и коллегам из министерств, ведомств и компаний.
Что делать
Никогда не переходите по подобным ссылкам! Вас также могут попросить нажать на кнопку, предложить получить подарок и т. п. Если вы что‑то подозреваете, позвоните человеку и убедитесь, что это он, а не злоумышленник.
Отзовите доступ к своему аккаунту с других устройств. Запускаем Telegram, заходим в раздел «Настройки», в пункт «Конфиденциальность». Заходим в него и в разделе «Безопасность» находим пункт «Устройства». Там собраны все устройства, на которых выполнен вход в ваш аккаунт. Завершите все подозрительные сеансы. Важно: иногда завершить посторонние сессии не удается, возникает надпись с предложением завершить сеанс позже. В таком случае лучше удалить свой аккаунт и создать его заново.
Включите двухфакторную аутентификацию. На Android: откройте раздел «Настройки» — «Конфиденциальность», выберите опцию «Двухэтапная аутентификация» и включите ее. После этого придумайте пароль и нажмите «Готово». На Apple: раздел «Настройки» — «Конфиденциальность» и опция «Облачный пароль». Далее точно так же нужно придумать пароль и нажать «Готово».
Включите код‑пароль (и запомните его).
И перепроверяйте детей и внуков!
Комментарии (45)
lain8dono
31.01.2023 09:42+11Правило №0: Никому не доверяй. Особенно себе.
DigitalTatarstan Автор
31.01.2023 09:58+2Эта тонкая грань с паранойей :)
avitek
31.01.2023 13:49+5"Даже если у вас нет паранойи, это не значит, что у вас не хотят угнать аккаунт."
SquareRootOfZero
31.01.2023 09:47+1Я что-то не понял: человек переходит по ссылке, вводит свой номер телефона (информация по-определению ни разу не секретная) и «код подтверждения» (который вообще злоумышленники сами ему выслали), и этого достаточно, чтобы украсть аккаунт? Не пароль украсть, а уговорить ввести код, который они сами сгенерировали? Это как вообще? Поясните, как это работает, я просто ни разу не пользовался Телеграмом.
noRoman
31.01.2023 09:55+7они не генерируют код. Они пытаются войти в аккаунт по номеру телефона. Код присылает telegram пользователю, а он передает мошенникам через сайт и готово)
SquareRootOfZero
31.01.2023 10:01+1Для входа в telegram пароль не нужен? Вводишь номер телефона, тебе по SMS приходит код, вводишь код?
ssj100
31.01.2023 12:35+2Расписал подробнее
Пользователь пытаются войти в аккаунт по номеру телефона в фэйковой форме злоумышленника
Злоумышленик - пытается реально зайти в реальный телеграмм используя реальный номер предоставленный пользователем в фэйковой форме
Реальный телеграмм - посылает реальный код на твой телефон
Ты вводишь реальный код в фэйковую форму злоумышленника
Злоумышленик получает реальный код и вводит в реальный телеграмм(в п.2)
Злоумышленик получает доступ к аккаунту
Игрался так по такому-же сценарию в молодости. В поезде за соседним кресле разговаривали 2 девушки и одна попросила продиктовать телефон у другой (дело было вечером делать было нечего) и когда она диктовала вслух я быстро набирал и нажимал позвонить быстрее чем тот кому говорили, в итоге 2 из 3 разных попыток заметили подмену. а кому-то было достаточно факта звонка.
SquareRootOfZero
31.01.2023 13:35Да я понял, что это какой-то вариант старого развода, когда тебе приходит, к примеру, е-мэйл с адреса support@miсrosoft.com (на самом деле нет, но адрес отправителя, вроде, произвольный подставляется), в нём ссылка, ты заходишь по этой ссылке куда-то, там сайт, чуть более чем полностью похожий на сайт Microsoft (на адресную строку ты не смотришь), ты «логинишься» и сообщаешь им свой пароль. Меня «код подтверждения» смутил, я не понимаю всех этих новомодных фишек с регистрацией по номеру телефона и сто пятидесяти девятифакторным авторизациями.
Ndochp
31.01.2023 14:28+1Все равно не понимаю, кем надо быть, чтобы попасться. Да, ты вводишь свой номер телефона на фейковой форме и тебе пишут, что нужно ввести код.
Но код то присылает не бот, не сайт конкурса, а телеграм. Это блин то же самое, что СМС от банка - кто ее вводить будет если не собирается потратить денег?
aborouhin
31.01.2023 14:48+1Предположу, что "сайт конкурса" предлагает "авторизоваться через Телеграм", как и миллионы других сайтов, которые в качестве альтернативы отдельному логину/паролю предлагают вход через соцсети. И это кажется пользователю, привыкшему к таким сценариям, нормальным. А вот "вход через банк" нормальным не покажется (хотя... Сбер ID, вроде есть)
qw1
31.01.2023 17:20+1Сбер ID, вроде есть
Да, видел на официальной vk-странице Сбера эти срачи: мол, какого хрена на развлекательном сайте вводить логины доступа к банку. На что менеджер сообщества успокаивал: не бойтесь, вводите, это безопасно, это такой же вход, как через аккаунт Гугл и т.п.
Ndochp
01.02.2023 10:14+1Это нормально, до тех пор пока код присылает бот конкурса, а не канал телеграма. Сбер ИД "это другое". Хотя меня напрягает и он (напрягал бы если бы я им пользовался) и окошко гугла вылезающее прямо из приложения, а не открывающееся в браузере. Блин, там даже адресную строку не посмотреть.
sena
31.01.2023 10:05+11Телеграм и ему подобные программы для обмена сообщениями стали популярны именно благодаря отсутствию необходимости придумывать логин, пароль и иметь ящик электронной почты (ещё потому что контакты всасывались автоматически).
И тут вы предлагаете всё опять усложнить со своей двух факторной аутентификацией. Конечно на Хабре программисты поймут, но народ в массе - нет.
Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет. Поэтому они будут отказываться от этого до последнего и будут уговаривать пользователей сделать это добровольно.
Arhammon
31.01.2023 13:17+3Собственно по это причине пришлось начать отказываться от Яндексовской почты, так как зайти на десяток не очень важных аккаунтов теперь невозможно без привязки телефона. Ладно хоть сама почта по IMAP работать продолжает.
CampoT1P
31.01.2023 13:22+4Двухфакторная аутентификация уже давно есть у каждого приличного мессенджера. Включая телеграм.
В мессенджерах просто факторы идут в другом порядке. Первый, обязательный - код из смс/in-app. Второй, опциональный - пароль.
ss-nopol
31.01.2023 18:15Второй, опциональный - пароль.
В том и дело что второй опциональный и им народ в массе не пользуется. Автор статьи предлагает начать им пользоваться, но это невозможно, по указанным выше причинам.
tark-tech
31.01.2023 13:57Ловушка ещё в том, что первый мессенджер, который сделает двухфакторную аутентификацию обязательной, проиграет
Эээээ???
Это какой сейчас из мессенжеров позволяет заводить аккаунты без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс, только с логином и паролем? Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...
Arhammon
31.01.2023 14:14Видимо имеется ввиду, что каждый чих должен сопровождаться двухфакторной аутентификаций. К примеру авторизоваться в браузере можно по QR с телефона, причем в WA добавили бестолковую для меня функцию - запоминания сессии и теперь надо вручную выходить с каждого браузера...
DarkTiger
31.01.2023 14:44Сейчас, вообще-то и почту фиг заведешь без привязки к телефону...
Не стоить ограничиваться Гуглом, Яндексом и Майлру. Proton можно пользовать, например, у него нет привязки вообще ни к чему
tark-tech
31.01.2023 15:08Даже если не ограничиваться ими - один фиг, сплошь и рядом вводят привязку.
зы pop3/imap у протона тоже нет
DarkTiger
31.01.2023 21:18Вам анонимность или поддержку клиентских протоколов?
Если хочется и то, и то - увы, на дворе 2023, а не 2010. Или купить vps за крипту и поднять на нем что душа пожелает - но это требования к знаниям и расход денег. Как говорится «если за сервис не платишь ты, значит, владельцы сервиса продают тебя». Да даже если и платишь…
molnij
31.01.2023 16:29+2А какие два фактора-то? Вроде всем популярным мессенджерам достаточно одного телефона в ваших руках. Даже доступ к смс попросят чтобы вы не утруждались вводом кода...
K0styan
31.01.2023 17:00Так тут только один фактор - SMS ("То, чем ты владеешь")
Второго - например, пароля ("То, что ты помнишь") - почти ни у кого нет. У Телеграма опциональный, и у Сигнала, ЕМНИП, PIN обязателен...
SquareRootOfZero
31.01.2023 18:15Неделю назад устанавливал члену семьи мессенджер Wire — никаких телефонов и СМС, никакой обязательной двухфакторной чего-то там, логин-пароль, как в старые добрые времена.
В Скайпе тоже до сих пор не вижу ничего подобного — правда, аккаунт давно заводил, не знаю, можно ли сейчас так же завести, не оскоромившись, или уже нет?
Мессенджер Line (запрещённый в Российской Федерации) можно (было?) зарегистрировать не через номер телефона, а через аккаунт в Пейсбуке, который тоже можно (было?) зарегистрировать без телефона и СМС.
Jitsi, вроде, тоже никакого телефона не просил никогда, но тоже давно это было, не знаю, что сейчас.
ss-nopol
31.01.2023 18:17+1без обязательной двухфакторной, сиречь без номера телефона и кодов подтверждения в смс
Двухфакторная аутентификация это смс + пароль. Номер телефона это не секрет.
artemisia_borealis
31.01.2023 21:16+1Matrix к примеру. Очень удобно, только логин и пароль, остальное опционально, можно не вводить.
dartraiden
31.01.2023 22:29Вы почему-то ставите знак равенства между смс и вторым фактором.
В том же Telegram смс это первый и единственный по умолчанию фактор. Второй фактор — это пароль, хранящийся в голове пользователя, но он опциональный и по умолчанию не используется.
RH215
31.01.2023 15:01но народ в массе - нет
Это как с бэкапами: до первого происшествия. Потом все начинают понимать.
EVolans
31.01.2023 10:32+8Ого.. мы зашли по непонятной ссылке, ввели коды и свой номер телефона, а плох телеграм?) Ну штош.. логично.
valeravv
01.02.2023 09:33+1На сайтах есть авторизация через Телеграмм, она так и работает, надо ввести номер телефона и подтвердить в телеграмм. Только там всплывает окно от oauth.telegram.org, а на сайте злоумышленника с похожего домена похожее окно, не всегда смотришь в адресную строку, а вот то что пришел код, а не кнопки "отклонить","подтвердить" это уже настораживает, но не всех.
FanatPHP
31.01.2023 13:29Отличный повод вспомнить про информационную гигиену.
В моем окружении вообще никто никому не пересылает мемасики, ссылочьки, картиночки, просьбочки помочь больным попугайчикам и прочий информационный мусор.
Исключение делается для престарелых тетушек, но там это все просто игнорируется.
XanderBass
31.01.2023 20:58+1У меня как-то некоторые товарищи баловались всякими опросиками. Каждый раз я интересовался, не взломали ли человека. После чего, когда выяснялось, что не взломали, человеку единожды выписывалось предупреждение, что если ещё хоть одна такая ссылка, и человек отправится в бессрочный бан. Кто-то понял, с кем-то по сей день не общаемся. Отучил своё окружение от рассылки всякого шлака. Теперь, если от кого что приходит подобное тому, что в статье, процентов на 99 можно быть уверенным, что человека взломали.
SCHWEJK
01.02.2023 05:48Кто-то понял, с кем-то по сей день не общаемся.
Есть люди, которым не нравятся всякие открыточки из ТикТока, когда им их шлют.
Но сами они такое рассылают.
¯ \ _ (ツ) _ / ¯ Старшее поколение. Гайки завинтить - очень жёстко получится, а это ближний круг. Игнорю, пока терпение есть.
shikhov
02.02.2023 12:43+2Но ведь Телеграм, когда присылает код, явно пишет "не сообщайте его никому"...
Lev3250
Разбирал один случай, который недавно произошел со знакомым. От его имени тоже пошла такая рассылка. Но сопоставляя время, когда он вводил код подтверждения (тоже какая-то якобы голосовалка) и время рассылки, пришёл к выводу, что они не просто разослали сообщения, а добавили по телефонной книге отложенные сообщения, а затем разлогинились из аккаунта, что затруднило поиск причины (по началу человек вообще не понимал, что происходит). В списке устройств был только один телефон.
DigitalTatarstan Автор
Ого! Просчитывают всё на несколько шагов ????
venanen
А если еще удалить сообщения отправленные (только с одной, взломанной стороны) - то можно вообще не сразу обнаружить угон, а к моменту как он будет обнаружен, уже утащит за собой большое количество аккаунтов
amXCVI
сталкивался именно с таким поведением
Происходит рассылка по всем контактам, с взломанной стороны сообщения сразу удаляются. В устройствах только одно. То есть, бот создал отложенные сообщения и разлогинился.
При этом, спортивного интереса ради с ненужного аккаунта перешел по ссылке и прошел весь путь - ввод номера, ввод кода - попросили отключить двухфакторку, отключил - появилось второе устройство - меня выкинули - через пару недель с аккаунта пришла рассылка по контактам.
Похоже, выкидывают только из тех акков, кто являются владельцами каналов. В противном случае просто рассылка с целью набрать базу аккаунтов