Сегодня разберем проблему или даже беду, которая возникает у пользователей мессенджера Телеграм, а именно, утрата доступа к учетной записи Telegram. Да, к сожалению, такая беда может случиться с любым из нас, поэтому важно понять и разобраться что делать в такой ситуации.
Основные причины потери доступа к своему аккаунту Телеграм и какие действия можно предпринять:
- Украли телефон/планшет, где была установлена sim-карта с номером, на который был зарегистрирован Telegram.
Если телефон украли, то первое что нужно сделать, это позвонить оператору и заблокировать сим карту (для этого нужно будет сообщить все свои паспортные данные). Если Вы ранее пользовались Телеграм на других устройствах, то нужно как можно быстрее зайти в свой аккаунт с другого устройства и завершить сессию на телефоне который украли (это исключит вероятность доступа злоумышленников к вашим данным и сообщениям). Также лучше заранее позаботиться о защите и безопасности Telegram, а также всего устройства в целом, чтобы снизить вероятность доступа к переписке и важным данным даже в случае кражи. - Заблокировали sim-карту или утратил её вместе с телефоном, как теперь войти в Телеграм?
В этом случае, если у Вас не осталось других открытых приложений Телеграм (активных сессий) на других устройствах (телефон, планшет, desktop или веб-версия телеграм), то увы, без сим карты получить доступ не получится, так как одноразовый код входа отправляется по смс или по звонку на указанный номер телефона. Но если у Вас есть активная сессия Телеграм, например на компьютере, то одноразовый код поступит в ваш открытый аккаунт Телеграм и таким образом, можно восстановить доступ к мессенджеру на любом другом устройстве. Важно понимать, что при этом всё равно сим карту лучше будет восстановить, даже если у Вас останется доступ к мессенджеру без сим карты, то в будущем могут возникнуть проблемы, например, сим карта будет переоформлена на другого пользователя и он сможет получить доступ к вашему аккаунту и всей переписке, хотя, в этом случае может спасти двух факторная авторизация Телеграм, но в любом случае новый владелец сим карты, сможет удалить Вашу учётную запись Telegram, даже если не будет знать двух этапного пароля, а потом создать свой новый аккаунт, а все ваши старые данные и доступ будут утеряны. - Что делать если забыл «облачный» пароль (пин-код) от двух-этапной (2FA двух-факторной) авторизации (этот пароль запрашивается после стандартного одноразового кода для входа)
В этом случае, «облачный» пароль можно восстановить на указанный email, если Вы его указывали, в противном случае доступ к Телеграм и данным внутри аккаунта можно считать утерянным, если не осталось других активных сессий на других устройствах. Если активная сессия у Вас осталась, то сбросить пароль можно в разделе Настройки > Конфиденциальность > Облачный пароль нажав на кнопку Забыли пароль? Следуйте инструкциям на экране. Как правило пароль сбрасывается только через 7 суток. Если делаете сброс пароля со страницы входа в аккаунт, то все данные будут удалены через 7 суток. А если делаете сброс пароля из аккаунта, то все данные будут сохранены. - Что делать если забыл защитный вход-пароль (код-пароль) в приложение ?
Важно понимать, что здесь речь идёт именно о код-пароле, который устанавливается на вход в приложение, не путать с «облачным» паролем от двух-этапной аторизации, который описан в предыдущем пункте. Итак, код-пароль на вход в приложение Телеграм восстановить невозможно, поэтому можно лишь переустановить приложение и снова войти в свою учётную запись, при этом потеряются все активные секретные чаты (если они были в этом приложении). - Не могу войти в свой Telegram. Выдаёт ошибку слишком много попыток входа (error flood wait)
Это не так страшно, но придётся подождать, как правило сутки, чтобы снова войти в свой Телеграмм аккаунт. Это может быть связано с автоматическими спам фильтрами и защитой от частых попыток входа.
МЭЙБИ БЭЙБИ — INSTASAMKA DISS (XWinner prod.)
Источник: tgram.ru
Поддельная веб-версия Telegram на службе у фишеров
Последние два месяца для пользователей Telegram оказались беспокойными. Виной тому массовые фишинговые атаки злоумышленников, цель которых — заполучить контроль над аккаунтами как можно большего числа пользователей мессенджера.
Кликнув по фишинговой ссылке, потенциальная жертва попадала на поддельный сайт, убедительно имитирующий оригинальный Telegram Web. Для просмотра обещанного контента пользователю нужно было авторизоваться на сайте. Предположение, что человек, уже использующий Telegram на своем устройстве, будет заходить в учетную запись в веб-версии, выглядит абсурдно, однако это работало.
Перехватив управление чужим аккаунтом, злоумышленники рассылали от имени жертвы фишинговые сообщения всем пользователям в ее контакт-листе. Сообщения, полученные от знакомых, обычно вызывают больше доверия, поэтому атаки срабатывали достаточно эффективно и количество потенциальных жертв увеличивалось лавинообразно.
Приманки фишеров
В качестве приманки фишеры создали немало веб-ресурсов с различным содержимым.
Пример фишингового сайта
Например, в результате рассылки по контакт-листу потенциальная жертва могла получить ссылку с просьбой проголосовать за взрослого или ребенка, участвующего в конкурсе.
Все эти уловки должны были привести жертву на один из фишинговых сайтов, построенных на веб-клиенте Telegram. Перенаправление сопровождалось передачей уникальных данных, возьмем для примера ссылку https://konkurs-golos[.]ltd/?hash=w85fvyprqn_0. В данном случае konkurs-golos[.]ltd — это адрес фишинговой веб-версии мессенджера, а уникальными данными являются хэш w85fvyprqn и цифра 0.
Веб-клиент для фишингового сайта был взят с GitHub 13 декабря 2022 года. Об этом свидетельствует JavaScript-файл с сервера злоумышленников:
Версия 1.6.2 (272) как раз датирована тринадцатым декабря.
Это полноценная версия Telegram Web с точки зрения как функциональности, так и интерфейса.
Разумеется, злоумышленники внесли некоторые изменения. Например, авторизация по QR-коду очень похожа на оригинальный web.telegram.org/k с той лишь разницей, что на картинке с кодом отсутствует пиктограмма Telegram.
Оригинальный QR-код Telegram Web
Однако самые существенные изменения коснулись функций, отвечающих за авторизацию, — были изменены код Telegram Web, файлы pageSignIn.ts, pageSignQR.ts, pageAuthCode.ts. Остановимся на них подробнее.
Модификации кода Telegram Web
Попав на фишинговую страницу, жертва видела знакомый интерфейс Telegram Web с QR-кодом или запросом на ввод номера, под которым располагался чекбокс «Оставаться в системе (Keep me signed in)». Вне зависимости от того, поставит ли жертва галочку, поведение фишингового Telegram Web не меняется: при помощи функции toggleStorages зловредный ресурс сформирует и сохранит данные сессии жертвы в локальном хранилище (localStorage), и каждый раз, когда жертва будет заходить на страницу, авторизация будет проходить автоматически.
Безусловное создание локального хранилища необходимо злоумышленникам для того, чтобы получить контроль над учетной записью жертвы. Если пользователь успешно авторизуется на сервере Telegram, злоумышленники получат сессионные ключи и затем смогут авторизоваться в мессенджере с любого устройства и в любой удобный им момент времени до тех пор, пока жертва или службы безопасности Telegram не обнаружат две активные сессии с разных IP-адресов.
Сама кража сессионных ключей происходит оригинальным способом: в тот момент, когда авторизация жертвы успешно состоялась, запускается пятисекундный таймер, по истечении которого сессионные ключи, хранящиеся в локальном хранилище, преобразуются в текст формата JSON и отправляются POST-запросом на поддомен dohphqnvcbxuhrtl.
Пример пересылаемых данных:
Однако тут есть еще один нюанс. Как показывает код на скриншоте выше, в том случае, если значение константы blocking равняется единице, жертва будет перенаправлена на еще один поддомен — recovery. Страница на этом домене может показаться похожей на страницу восстановления доступа к Telegram, однако есть существенные отличия. CAPTCHA в данном случае — статический рисунок, а одно из полей формы содержит запрос на данные банковской карты.
Значение константы blocking определяется в результате парсинга зловредного URL, о котором мы писали выше (пример: https://konkurs-golos[.]ltd/?hash=w85fvyprqn_0).
Если в конце URL содержится ноль, то перенаправления не происходит. Так фишеры могут регулировать цели, которые они хотят достичь в рамках одной кампании.
Статистика фишинговой кампании
По данным телеметрии «Лаборатории Касперского», пик атак в рамках этой фишинговой компании пришелся на декабрь 2022 года. Атаки были направлены преимущественно на российских пользователей Telegram, однако с этой угрозой столкнулись и пользователи в других странах. Специально созданные страницы встречались в том числе на арабском языке.
| Страна | % атакованных пользователей |
| Россия | 90,04 |
| Узбекистан | 3,08 |
| Беларусь | 3,08 |
| Украина | 0,82 |
| Германия | 0,54 |
| Казахстан | 0,54 |
| Латвия | 0,27 |
| Франция | 0,18 |
| Индонезия | 0,18 |
| Таджикистан | 0,18 |
| Эстония | 0,09 |
| Испания | 0,09 |
| Швеция | 0,09 |
| Гонконг | 0,09 |
| ОАЭ | 0,09 |
| Армения | 0,09 |
| Нидерланды | 0,09 |
| Австралия | 0,09 |
| Финляндия | 0,09 |
| Саудовская Аравия | 0,09 |
| Великобритания | 0,09 |
| Бельгия | 0,09 |
Данные телеметрии за декабрь 2022 г.
На руку фишерам сыграло множество факторов. Во-первых, технически не очень сложно организовать подобные атаки: зарегистрировать домен, скачать последнюю версию Telegram Web, немного модифицировать ее и начать рассылку. Во-вторых, как канал дистрибуции любой мессенджер — отличный вариант, особенно если писать фишинговые сообщения от имени жертвы. Это дает ощутимое преимущество над обычной рассылкой, которую быстро заблокируют службы безопасности мессенджера.
Защититься от этой и подобных атак и сложно, и просто одновременно — в зависимости от бдительности пользователя. Иначе говоря, чтобы не попасться на удочку, не советуем сразу переходить по внезапно полученной ссылке, даже если ее прислал тот, кого вы хорошо знаете. Лучше связаться с отправителем по другому каналу, например позвонить и узнать, действительно ли сообщение пришло от него. Как вариант, можно задать личный вопрос, ответ на который может знать только отправитель. Хорошим дополнением к бдительности будет защитное решение, способное предотвращать переходы на фишинговые сайты, главное, чтобы его база фишинговых ссылок обновлялась оперативно.
Индикаторы компрометации (IoC)
Доменные имена
konkurs-golos[.]ltd
cyberusa[.]tech
cyberusa[.]ltd
vote-2023[.]ltd
vote-telegram[.]com
teleqram[.]net
golos-2023[.]online
Правило Yara
Источник: securelist.ru
С помощью Telegram можно украсть деньги с карты?
Участились случаи кражи денег с банковских карт при помощи встроенного веб-скиммера в интернет магазинах. Полученные данные передают через защищенные шлюзы Telegram. ИБ-специалист, известный под псевдонимом Affable Kraut, обнаружил, что операторы веб-скиммеров стали использовать Telegram-каналы для извлечения похищенных у пользователей данных. К такому выводу он пришел, опираясь на информацию, полученную компанией Sansec, которая специализируется на борьбе с цифровым скиммингом и Magecart-атаками.
Подпишитесь на наш канал в Телеграме, чтобы читать только интересные новости высоких технологий
Исследователь изучил один из таких вредоносных JavaScript и заметил, что тот собирает все данные из заполненных жертвами полей ввода и отправляет их в Telegram.
Вся передаваемая информация зашифрована с использованием публичного ключа, и получив ее, специальный Telegram-бот отправляет украденные данные в чат в виде обыкновенных сообщений.
Affable Kraut отмечает, что этот метод кражи данных, судя по всему, весьма эффективен, но имеет существенный минус: любой, у кого есть токен для Telegram- бота, может взять процесс под свой контроль.
Главный исследователь из компании Malwarebytes, Джером Сегура, тоже заинтересовался данным скриптом, а изучив его, сообщил, что автор этого веб-скиммера использовал простую Base64 для ID бота, канала Telegram и запросам API. Ниже можно увидеть схему, оставленную Сегурой и описывающую весь процесс атаки.
Источник: cloudteh.ru