Можно ли осуществить взлом Telegram – ответили сотни хакеров и опытных программистов, принявших участие в конкурсе от разработчиков. Они выявили все существующие уязвимости, за что были награждены увесистыми денежными премиями.
Как заявляют разработчики, их творение абсолютно закрыто от спецслужб, в отличие от Viber, Skype, прочих. Открыть страницу можно только, авторизовавшись через СМС подтверждение, что исключает вероятность подбора или перехвата верификационных данных. А ты чего ожидал? Что здесь будет подробная инструкция для чайников, как взломать бота в телеграм или как взломать сам Телеграмм? – это невозможно даже для многих опытных программистов, не говоря уже о нубах. Здесь не работают те классические приёмы, с которыми ты возможно знаком по Вконтакте: фишинг, варминг и т.д.
Перехват трафика
Наиболее распространенная статья в получении данных третьими лицами. Как уже стало понятно из заголовка, происходит перехват передаваемых данных от клиента к серверу. Прослушка трафика осложняется шифрованием, делающей такой вид взлома практически невозможным, раскодировать байты практически невозможно.
Как поставить ПАРОЛЬ на Telegram-бота / SAMBOT.RU
Атака посредника
Этот вид предполагает вмешательство третьего лица, устройства, которое будет осуществлять подмен заложенных данных. Каждое сообщение закрывается ключом AES, модифицировать со стороны который не получится, тому препятствует протокол обмена DH и открытый серверный ключ.
СМС перехват
Пожалуй, это один из немногих способов, как взломать Telegram. Многие продвинутые программисты согласятся, перехватить СМС будет намного проще, чем получить и расшифровать чаты пользователей, защищенные протоколом MTProto.
DDoS
Таким образом можно обвалить серверную часть приложения, что и произошло в июле 2015 года. Несколько часов утилита работала с затруднениями во всем мире. Перед тем, как взломать Telegram таким образом, тебе понадобится много денег, DDoS – это одна из самых дорогих атак.
Для влюбленных и других…
Да! Взломать Telegram или даже просто обмануть бота с программной точки зрения практически невозможно, но можно с человеческой точки зрения. Ведь социальную инженерию никто не отменял.
Как идея : Следишь за любимой, ставь приложение себе на комп, с ее телефона или на смартфон любой, но тут есть огреха. Не помечай прочитанным ибо будет заметно. + В любой момент можно будет понять по активным сессиям и их закрыть.
ЗЫ: А лучше доверять или поговорить — самое легкое и верное решение. Пусть даже правда будет не такой хорошей! Удачи!
Защита : Вот прямо сейчас возьми и проверь взломали ли тебя и читают твою переписку?
- Открой настройки свое Телеграмма;
- Пункт «Приватность и безопасность» или «Конфиденциальность» — название пункта зависит от операционной системы (Android или IOS) и версии ОС.
- Выбери пункт «активные сессии» или «активные сеансы». Если вдруг, есть незнакомое устройство, заверши его.
Как обезопасить себя и не дать прочитать чужую переписку в Телеграмм? Самая подробная инструкция!
Источник: telegramzy.ru
Злоумышленники в России пытаются украсть пароли от Telegram с помощью ложной верификации
МОСКВА, 20 окт — ПРАЙМ. Злоумышленники в России стали использовать ботов в Telegram, которые визуально похожи на официальные и предлагают пройти «верификацию» по прикрепленной ссылке, с такой схемой столкнулся корреспондент РИА Новости. Опрошенные агентством эксперты пояснили, что таким образом мошенники используют социальную инженерию и стремятся выкрасть пароли пользователей.
Согласно новой схеме, бот, частично похожий на официальный от мессенджера, сообщал, что верификация аккаунта не пройдена. В сообщении также говорилось, что сам аккаунт будет заблокирован в течение 6 часов, если владелец не пройдет по прикрепленной ссылке.
По словам эксперта по кибербезопасности «Лаборатории Касперского» Виктора Чебышева, представленный случай — это фишинг, чтобы «выманить учетные данные от аккаунта в Telegram». Как отметил эксперт, достаточно обратить внимание на то, как пишется мессенджер в названии контакта, ведь в легитимных уведомлениях написание другое.
«Возможность заблокировать пользователя или добавить его в список контактов также говорит о том, что это не автоматически сформированное сообщение от сервиса. К тому же у официального аккаунта в названии, имени, есть подпись, в которой отмечается, что это «служебные уведомления» и присутствует синяя галочка», — пояснил эксперт.
Похожего мнения придерживается и аналитик Group-IB Digital Risk Protection Евгений Егоров. Эксперт подтвердил, что интернет-мошенники «часто выдают себя за представителей техподдержки официальных сервисов, месенджеров, соцсетей, чтобы похитить учетные данные клиентов этих компаний».
«В данном случае злоумышленники создали Telegram-бот для «верификации» аккаунта и рассылали сообщения от имени Telegram с поддельного аккаунта с просьбой пройти ее. Не обошлось без социальной инженерии — жертв пугают блокировкой аккаунта в течение суток. Это делается, чтобы снизить бдительность пользователей и быстрее выполнить указания мошенников», — пояснил Егоров.
КАК НЕ СТАТЬ ЖЕРТВОЙ МОШЕННИКОВ
Эксперты подчеркнули — чтобы не стать жертвой мошенников, пользователям нужно обращать внимание на следующие моменты: официальные аккаунты мессенджера имею верифицированный статус с галочкой возле имени, также не стоит переходить по подозрительным ссылкам в сообщениях и вводить на сомнительных страницах свои личные или учетные данные.
Кроме того, как отметил Чебышев, владельцем Telegram-аккаунтов стоит включить двухфакторную аутентификацию: если злоумышленник попытается получить контроль над аккаунтом, кода верификации будет недостаточно, ему потребуется еще и пароль.
«Обратите внимание на раздел «активные сеансы»: если обнаружите неизвестное или подозрительное устройство, завершите эту сессию и смените пароль, если он был установлен», — добавил эксперт.
Источник: 1prime.ru
В Telegram появился бот-аналог Have I Been Pwned, ищущий слитые пароли
В Telegram появился аналог сервиса Have I Been Pwned — бот, позволяющий проверить скомпрометированные пароли с помощью адреса электронной почты. По словам создателя бота, получившего имя MailSearchBot, в сервисе используется база утекших связок логин-пароль, насчитывающая 9 млрд записей.
Воспользоваться MailSearchBot достаточно просто — нужно отправить ему в чат адрес вашей электронной почты. В ответ сервис должен выдать скомпрометированные пароли, связанные с этим адресом (если они имеются).
На данный момент, как признается сам создатель MailSearchBot Батыржан Тютеев, сервис представляет собой исключительно любительскую разработку, созданную на домашнем компьютере.
Сам Тютеев представляет компанию NitroTeam, занимающуюся проведением пентестов.
Напомним, что Трой Хант, нынешний владелец сервиса Have I Been Pwned, предоставляющего информацию об утечках, ищет желающего приобрести его детище. Хант создал Have I Been Pwned более пяти лет назад, а в настоящее время он отлично справляется с выявлением скомпрометированных учетных данных.
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
04 Сентября 2023
07 Сентября 2023
/news/2023-10-03-114534/42040
Татьяна Никитина 03 Октября 2023 — 20:14
В соответствии с новой нормой российские маркетплейсы, онлайн-кинотеатры, соцсети начали уведомлять пользователей о применении рекомендательных технологий и пояснять, как работает их механизм, какие данные собирает, как их обрабатывает.
Рекомендательные алгоритмы позволяют онлайн-сервису персонализировать список и порядок данных, выдаваемых пользователям в ответ на запрос. Чтобы сделать сервис максимально прозрачным, в Закон об информации были внесены изменения (№ 408-ФЗ от 31.07.2023), вступившие в силу 1 октября.
Поправки вводят новые требования для владельцев сайтов и мобильных приложений с рекомендациями. Они обязаны обеспечить информирование пользователей о применении таких технологий и опубликовать правила применения, со списком собираемых данных, их источников, а также с описанием используемых процессов и методов. Документ должен быть написан на русском языке и доступен без ограничений.
Подобные публикации уже появились на сайтах Wildberries, «CберМаркет», VK, «Иви», START. В основном это встроенные либо всплывающие уведомления-ссылки на домашней странице.
Чтобы узнать предпочтения юзеров, коммерсанты анализируют их поведение на площадке: действия, запросы, длительность сессий. Они также могут собирать такие сведения, как IP-адрес, геолокация, данные устройства, канал взаимодействия, источник перехода на сайт.
За соблюдением новых требований будет следить Роскомнадзор. Обнаружив нарушение, регулятор направит владельцу ресурса уведомление с требованием принять меры. РКН также вправе запросить у нарушителя доступ к программно-техническим средствам ресурса, чтобы провести оценку работы рекомендательного сервиса. Отказ может привести к блокировке.
Подписывайтесь на канал «Anti-Malware» в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Источник: www.anti-malware.ru