телеграм запрашивает код подтверждения
Не приходит код от Телеграм
Мессенджер Телеграм использует опцию верификации пользователя с помощью смс-кода. Что это такое и какие сложности могут с ним возникать при получение смс от Телеграм, вы найдете в данной статье.
Что такое СМС-код в Телеграм
СМС-код в Телеграм— это способ верификации подлинности пользователя. Благодаря данному способу пользователь подтверждает, что он является владельцем аккаунта в Телеграм. При этом такой способ верификации является надежным, так как постоянный пароль рано или поздно могут взломать, несмотря на уровень его сложности. А одноразовый код из смс уменьшает шансы хакеров получить доступ к аккаунту пользователя Телеграм.
Код СМС в Телеграм используется при регистрации нового аккаунта, при завершении последнего сеанса, при замене номера телефона, привязанного к аккаунту, а также при входе в существующий аккаунт на новом устройстве.
Например, вы все время пользовались мессенджером на смартфоне, но возникла необходимость воспользоваться им с планшета или с ПК. В таком случае, при входе в аккаунт Телеграм с нового устройства, на номер вашего мобильного телефона, к котором привязан Телеграм, придет СМС с кодом верификации, который нужно будет ввести на новом устройстве.
Об этой процедуре мы расскажем чуть ниже. А сейчас хотим обратить ваше внимание на несколько важных нюансов:
Далее мы более подробно рассмотрим когда в Телеграме нужно использовать СМС код.
Когда Телеграм отправляет СМС-код
Итак, есть четыре случая, когда служба Телеграм отправляет код в СМС.
Регистрация нового аккаунта
При регистрации нового аккаунта, Телеграм запрашивает у пользователя код верификации. Данный код придет в смс-уведомлении на указанный при регистрации номер телефона. В уведомлении будет пятизначное число. Если пользователь регистрирует аккаунт со смартфона, то приложение автоматически копирует код из смс-уведомления. Если регистрация происходит с ПК, то пользователю нужно будет вручную ввести пятизначный код.
Вход с нового устройства
В данном случае, СМС-код является способом верификации пользователя. То есть таким образом Телеграм убеждается в том, что именно вы заходите в свой аккаунт с нового устройства, а не кто-то другой.
Здесь стоит отметить, что при входе в аккаунт с планшета или с ПК, код верификации приходит в приложение Телеграм на вашем смартфоне. Но бывают случаи, когда на смартфоне нет интернета или по каким-то причинам приложение Телеграм удалено. Тогда возникает необходимость воспользоваться кодом из СМС.
Для этого при входе в аккаунт на новом устройстве, после того как вы указали номер телефона (к которому привязан ваш аккаунт), нужно в окне входа выбрать опцию «Send code via SMS«. После этого на ваш номер телефона придет СМС-код.
Завершение последнего сеанса
Если вы завершите последний сеанс на смартфоне и выйдете из аккаунта, то при повторном входе Телеграм запросит код верификации. В таком случае придет код в СМС. Если вы завершите последний сеанс на планшете или ПК, то при повторном входе код верификации автоматически придет в самом приложении Телеграм, установленном на вашем смартфоне. Если приложение не установлено на смартфоне, тогда Телеграм пришлет СМС.
Только для этого надо будет опять же, как и в случае входом с нового устройства, выбрать опцию «Send code via SMS».
Замена номера телефона
При привязывании нового номера телефона к существующему аккаунту Телеграм, мессенджер запросит код подтверждения ваших действий. В данном случае код тоже придет в виде СМС-уведомления.
Не приходит код в СМС от Телеграм
При регистрации нового аккаунта
При регистрации нового аккаунта смс от Телеграм может не приходить по следующим причинам:
При входе с нового устройства
При входе в существующий аккаунт с нового устройства код в СМС от Телеграм может не приходить в следующих случаях:
Когда не требуется СМС-код
СМС-код может не потребоваться лишь в том случае, когда вы вышли из приложения, не завершив сеанс. То есть закрыли приложение, не выходя из аккаунта. При повторном открытии приложения никакого кода верификации не потребуется.
Как вы видите, вышеупомянутые проблемы с кодом СМС от Телеграм несложно решить. Если у вас нет времени вникать в проблему и разбираться почему не приходит СМС-код, вы всегда можете сразу обратиться в службу поддержки Телеграм. Но помните, что ответ может быть очень долгим.
Не приходит код Telegram. Как войти в TelegramSMS-коды авторизации Telegram продолжают перехватывать
Примерно три месяца назад Павел Дуров предупредил пользователей, что авторизация по SMS в мессенджере Telegram скомпрометирована. «Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода. Обычно такое встречается только в рамках людоедских, не заботящихся о своей репутации режимах — средняя Азия, иногда Ближний Восток. Но внезапно случилось в России (если, конечно, отсечь коррупцию внутри МТС)», — сказал Павел Дуров и пообещал сделать рассылку для всех пользователей с советом включить двухфакторную авторизацию, так как операторы связи РФ как верификатор ненадёжны.
К сожалению, даже двухфакторная авторизация не является панацеей. Вчера один из пользователей Telegram Сергей Пархоменко подробно описал, как злоумышленникам удалось уничтожить его аккаунт, на котором была включена двухфакторная аутентификация.
Суть событий вкратце:
На телефон внезапно посыпались один за другим коды для доступа к аккаунту, которые я не запрашивал. Потом при попытке войти в свой аккаунт мне предложили сделать это так, как будто это происходит в первый раз. В открывшемся интерфейсе обнаружилось, что вся история переписки, все чаты, все контакты исчезли. Аккаунт оказался новым, как бы девственно чистым.
Среди открытых сессий обнаружилась одна — сделанная с постороннего компьютера (у меня нет ни одного PC).
Короче говоря, это означает, что взломать аккаунт и увести переписку злодеям не удалось, но удалось его уничтожить. Пришлось мне его грохнуть и открыть новый ещё раз, уже осознанно, пройдя через процедуру удаления и заведения эккаунта, — для надёжности.
Внизу скриншот с записью о «левой» открытой сессии — для любителей покопаться в IP-адресах. Привет обладателю этого адреса. Надеюсь, однажды вас всех будут судить.
После общения с техподдержкой Telegram Сергею Пархоменко сегодня удалось узнать некоторые подробности о взломе своего аккаунта Telegram.
Во-первых, злоумышленники действительно получили доступ к SMS-сообщениям жертвы через провайдера МТС.
Взломать аккаунт они не смогли, потому что не знали пароля. Но зато в Telegram существует уязвимость в безопасности, которая позволяет удалить аккаунт и открыть вместо него новый только по SMS, что и сделали злоумышленники (возможно, со злости).
Представители Telegram заверили, что закроют уязвимость в течение ближайших дней.
К сожалению, из-за высокого уровня безопасности Telegram восстановить данные в удалённом аккаунте невозможно.
Фрагмент SMS-переписки Максима Каца, которую злоумышленники целиком выложили в интернет
Телеграм запрашивает код подтверждения
Пользователь, зарегистрированный в приложении Телеграм, кроме других полезных функций, получает гарантию безопасности данных. Одно из средств, обеспечивающих защиту, – способ регистрации и входа в Telegram.
Чтобы начать работать в мессенджере, нужно зарегистрироваться: сообщить номер телефона, дождаться SMS-сообщения с сочетанием цифр, открыть Телеграм. Возникают случаи, когда сообщение с кодом приходит пользователю, не выполнявшему запроса на регистрацию в Телеграм. Данная статья содержит описание причин возникновения подобных ситуаций и способов защиты от хакерских взломов.
Входной код для Телеграм
Код для открытия Телеграм придумывать не нужно. Так же как не нужно ломать голову и сочинять имя пользователя. Пароль поступает в виде смс-ки на телефон и выглядит как пятизначное число. Чтобы подтвердить вход, цифры нужно ввести в соответствующее поле. Если пользователь пожелает войти с одинаковой комбинацией цифр в десктопную и мобильную версии, программа такое действие не одобрит. Каждый раз код нужно получать заново.
Есть правило: Телеграм высылает код, source code, только при поступлении запроса. Если смс с кодом пришло самопроизвольно, без участия пользователя – это тревожный сигнал.
Пароль без запроса означает попытку взлома
Порядок действий при получении смс с кодом от Телеграм без обращения:
При получении смс с паролем без соответствующего запроса для гарантии безопасности аккаунта следует как можно быстрее выполнить два действия:
Таких несложных действий достаточно, чтобы обеспечить защиту пользовательского профиля от несанкционированного доступа.
Сообщение с кодом приходит при регистрации
Ситуация, когда приходит SMS с кодом при процессе регистрации, вполне нормальна. Цифровой код пригодится, чтобы создать аккаунт. Достаточно напечатать пять цифр внутри нужного поля, и можно свободно открывать мессенджер и общаться.
Удаляя приложение, пользователь обнуляет значение кода. Для каждой последующей установки мессенджера понадобится новый пароль, записывать код нет необходимости.
Запрос пароля при входе в Телеграм
Обычно мессенджер не запрашивает код доступа для каждого входа. Причин неоднократных запросов пароля может быть три:
Если ни одна из данных причин не реализована, а запрос кода продолжает поступать, следует обратиться в службу техподдержки. Но сам по себе факт запроса цифрового кода при запуске приложения не является тревожным симптомом и не говорит о взломе аккаунта.
Запрошенный для регистрации код не получен
Перечень причин, по которым Telegram не отправляет смс сообщение с паролем:
Реальных причин, когда Телеграмм не присылает цифры активации может быть гораздо больше. Следует усвоить: при отсутствии сообщения с кодом нужно не повторять запросы до бесконечности, перегружая блокированную систему, а сначала исключить технические факторы отсутствия сообщений.
Прочие проблемы
Кратко перечислим другие обстоятельства, ответственные за возможные сбои в рассылке паролей, и возможные пути решения проблем:
Пользователь должен усвоить:
Надежная защита аккаунта
Единственное верное средство защиты профиля от взлома, предлагаемое сегодня большинством социальных сетей и мессенджеров – двухступенчатая аутентификация. Данный способ предусматривает введение двух секретных кодов: полученных из смс цифр и персонального пользовательского пароля.
Алгоритм для прохождения двухступенчатой аутентификации:
Для гарантии секретности можно предложить комбинацию, взятую из таблиц кодировок. Если у пользователя есть подозрение, что аккаунт уже взломан, можно воспользоваться опцией «Удалить активные сеансы». Тогда все сессии закроются и взломщикам придется искать иной путь проникновения.
Некоторые пользователи высказывают идею о большей степени защищенности веб-версии от хакерских атак. Пока это всего лишь частное мнение, никак не подтвержденное разработчиками. Двухэтапная аутентификация является наиболее надежной защитой от вторжения злоумышленников в пользовательский профиль.
Заключение
Если пользователь неожиданно получает пароль для Телеграм – это скорее всего неприятный сюрприз, заставляющий опасаться хакерской атаки на профиль. Нужно срочно дезактивировать активные сессии и ввести дополнительную меру защиты: двухфакторную аутентификацию. А еще лучше принять профилактические меры, установив систему защиты из двух этапов заблаговременно.
Не приходит код на телефон Телеграм
С каждым днем мессенджер Телеграм набирает всё большую популярность. Вместе с этим нагрузка на сервера возрастает, что часто провоцирует различные сбои. В 2016 году нарушения в работе были связаны с борьбой владельца сервиса Павла Дурова со спецслужбами РФ, так как отказывался сотрудничать и предоставлять данные о пользователях, чтобы защитить их частную жизнь. Несмотря на то, что ситуация давно стабилизировалась, время от времени пользователи жалуются на сбои.
Один из них связан с тем, что от Телеграма человеку не приходит код подтверждения. С такой ситуацией человек может столкнуться в 2 случаях. Когда необходимо пройти активацию или войти в приложение. Если после нескольких попыток проблема не решена, придётся заняться поиском возможных нарушений и путей их преодоления.
Когда требуются коды в Telegram
Одноразовый пароль используется многими сервисами для того, чтобы подтвердить личность пользователя. Этот способ применяют онлайн-банки и различные платежные системы. Говоря о Телеграме, коды могут потребоваться в следующих случаях:
При каждом из вышеперечисленных действий на телефон пользователя, который подвязан к аккаунту, должен прийти код-пароль. Его вводят в строку мессенджера, которая откроется автоматически.
Обратите внимание! Говоря о вводе символов, в большинстве случаев, это также не требуется, так как система выполнит вход самостоятельно сразу после того, как владелец аккаунта получит SMS. Это объясняется тем, что приложение имеет доступ к смс-сообщениям, поэтому пришедшие символы автоматически добавляются в пустое поле.
Что делать, когда не приходит код активации
В процессе регистрации новой учетной записи, пользователи часто сталкиваются с разными проблемами. Если нарушение в работе состоит в том, что не приходит SMS, первые несколько минут не стоит предпринимать каких-либо действий. Иногда достаточно подождать 5-10 минут и попробовать снова. Зачастую этого достаточно для решения проблемы, так как сбой может быть связан с нарушениями в работе мобильного оператора.
Говоря о причинах, из-за которых не приходит код подтверждения, их может быть несколько. Одна из самых частых, это неправильно указанный номер телефона. Кроме этого, отправленные на смартфон пользователя сообщения могут быть заблокированы и восприняты устройством как спам.
Также не стоит забывать о том, что время действия кода может истечь. Его лучше ввести сразу после получения. Если же номер введён правильно или пароль не подходит, решить проблему можно следующим образом:
Обратите внимание! Если ни один из этих способов не оказался эффективным, можно попробовать на некоторое время отключить телефон, и после включения сделать запрос снова. Чаще всего, один из этих способов помогает устранить сбой и успешно получить SMS с кодом.
Когда можно обойтись без кода
Если пользователь закрыл Telegram и при этом не покидал свою учётную запись, при повторном открытии, мессенджер не потребует восстановления доступа, через отправленный на мобильный телефон кода. Говоря о входе в свой аккаунт с нового устройства, без активации с помощью пароля этого сделать не получится.
Ежедневно многие люди сталкиваются с проблемой при введении пароля, но, несмотря на это, ещё ни один из них не пожаловался на то, что у него не получилось решить эту задачу. Если нет времени разбираться в вопросе и человеку необходимо срочно пройти регистрацию или получить код для других целей, самый эффективный способ, это обращение в службу поддержки, которая отвечает достаточно быстро.
Как ломают Telegram? О перехвате SMS и уязвимости мобильной сети
Пускай Telegram и считается одним из самых защищенных мессенджеров, но и его пользователей периодически взламывают. В минувшую пятницу наши коллеги из Tut.by сообщили о том, что неизвестные с украинских IP-адресов пытались получить доступ к телеграм-аккаунтам минимум шести сотрудников организации. Буквально за час до этого закончилась наша беседа с российским правозащитником и экспертом Amnesty International Олегом Козловским. Он рассказывал, как в 2016 году был взломан его аккаунт в Telegram и неизвестные получили доступ к перепискам.
Как оказалось, тема взлома защищенного мессенджера остается актуальной до сих пор. И связано это не только с хакерами, но и с уязвимостью технического протокола мобильных сетей, которая позволяет перехватывать SMS-сообщения. Об этом сегодня и расскажем. Но начнем с истории.
Взлом посреди ночи
Неизвестные смогли залогиниться в аккаунт российского правозащитника Олега Козловского одной апрельской ночью 2016 года. Узнал он об этом только наутро, так как оператор ночью на короткое время отключил ему входящие сообщения и интернет. Вот так выглядел взлом со стороны жертвы.
— Я получил сообщение в Telegram о подключении нового устройства. Кто-то подключался через Linux якобы с сервера из США. Потом выяснилось, что подключение осуществлялось через сеть зашифрованных серверов. Это было ночью, когда я спал.
Я написал в техподдержку Telegram. Там подтвердили, что такое подключение было, было отправлено SMS-сообщение, и по коду из него подключился человек.
Олег обратился к своему оператору. Сперва получил детализацию по своему номеру, где увидел подключенные и отключенные услуги. А потом позвонил.
— Мне сказали, что по требованию службы безопасности оператора отключили ряд услуг, а потом включили обратно. Ночью мне отключали доставку сообщений, мобильный интернет и уведомления меня об отключении и подключении услуг.
Соответственно, никакие уведомления о манипуляциях на телефон не пришли.
Спустя 15 минут кто-то подключается к моему аккаунту, запрашивает SMS с кодом. До моего телефона она не доходит. И каким-то образом этот код перехватывается. Его вводят, заходят в мой аккаунт и, вероятнее всего, сразу же скачивают все чаты. И еще через полчаса-час все услуги МТС подключает обратно.
Когда Олег озвучил эти факты, оператор не признал их и заявил об ошибке. Но в то же время, когда случился взлом аккаунта Козловского, аналогичная ситуация произошла еще с двумя активистами. Один из них — Георгий Албуров, сотрудник Фонда борьбы с коррупцией.
— Так или иначе, но МТС (российский. — Прим. Onliner) не признавал свое участие. С моей точки зрения, это означало, что какие-то сотрудники были в сговоре со злоумышленниками. Были ли это спецслужбы, или это делалось за деньги… мне неизвестно.
У Олега не была включена двухэтапная аутентификация, не был задан дополнительный пароль, о котором мы расскажем чуть ниже. Это и позволило злоумышленникам получить доступ к открытым чатам. Возможно, еще были скачаны файлы, которые пересылались в чатах. Но, как отмечает он сам, ничего интересного там не было. Прошло пять лет, а его еще никто не пытался шантажировать, переписки не появлялись в интернете.
По словам Олега, он столкнулся с сопротивлением со стороны Следственного комитета России, куда отнес заявление о возбуждении дела по несанкционированному доступу к компьютерной информации и паре других статей.
Только через несколько лет удалось добиться начала проверки. Потом пришел отказ в возбуждении уголовного дела. Но польза в этом была: МТС официально ответили следствию.
Согласно ответу оператора, им была зарегистрирована атака из внешней сети на сети сигнализации SS7 в отношении абонентов компании с целью их принудительной регистрации на узле стороннего оператора. Под атакой оказались 16 абонентов, поступило 85 несанкционированных запросов типа Location Update.
Как пояснил нам источник в телеком-индустрии, под этой формулировкой скрываются попытки провести фиктивную регистрацию абонентов в чужом коммутаторе в одной из сетей роуминг-партнеров МТС, сымитировав работу абонента в роуминге, чтобы входящие звонки и сообщения проходили через этот «гостевой» коммутатор.
В документе говорится, что дежурный специалист Департамента инфобезопасности МТС той ночью принял решение защитить абонентов и на час отключить им SMS, информирование о добавлении и удалении услуг, а также мобильный интернет. Согласно все тому же письму, действия сотрудника признали избыточными в силу его недостаточной компетенции. Сотруднику сделали выговор, позже он уволился по собственному желанию.
— Это действительно уязвимый канал. Все, что передается через SMS, могут прочитать не только спецслужбы, но и хакеры, причем необязательно суперкрутые и невероятно продвинутые. И оборудование, и программные комплексы для подобного взлома продаются. Кроме того, доступ есть и у мобильных операторов, у которых не все сотрудники честные.
Уязвимость SS7
SS7, о которой говорилось в том письме российского МТС, — это набор сигнальных телефонных протоколов. Его разработали еще полвека назад, и сегодня он повсеместно используется при оказании большинства услуг: при установлении телефонного вызова, звонке с мобильного на фиксированный номер, роуминге, передаче SMS-сообщений и так далее. Об уязвимости этого протокола периодически говорили и европейские, и российские, и американские эксперты.
Начало применения SS7 в Европе относится ко времени построения мобильных сетей GSM, в которых при роуминге коммутатор «гостевой» сети (MSC/VLR) должен обращаться к опорному регистру (HLR) «домашней» сети абонента, хранящему данные об этом абоненте. В настоящее время SS7 составляет сигнальную инфраструктуру практически всех операторов фиксированной и мобильной связи и служит для передачи информации об установлении соединения и маршрутизации.
Однако устаревшие концепции безопасности в его основе делают этот протокол уязвимым для хакеров. Например, было много статей о найденных уязвимостях, с помощью которых можно определить местоположение абонента, прослушать разговор или, например, перехватить его SMS-сообщение.
Немец Тобиас Энгель в 2014 году на хакерской конференции в Берлине рассказал об уязвимости SS7 и продемонстрировал, как на протяжении двух недель отслеживал перемещения нескольких абонентов (с их предварительного согласия). Они сами предоставили ему номера своих телефонов, а он, опрашивая сеть, смог выстроить небольшую карту их перемещений. Так, например, один из абонентов в середине декабря жил и работал в Сиэтле, а потом на рождество отправился на родину в Нидерланды. Последнюю точку из презентации Тобиас убрал, так как она оказалась слишком близко к родному дому голландца.
Как отмечал тогда специалист, частные компании по всему миру предлагали инструменты на основе уязвимости SS7 в качестве Lawful Interception — средств для перехвата в рамках закона для правоохранительных органов и спецслужб.
Практически все спецслужбы всех государств имеют прямое включение в сети операторов и могут без труда как прослушивать разговоры, так и читать SMS. Это все подзаконно, такое оборудование стандартизировано и на постсоветском пространстве называется СОРМ.
Но мы отошли чуть в сторону.
Ранее злоумышленнику достаточно было иметь компьютер со специальным программным обеспечением и быть подключенным к сети оператора связи в виде сигнальной точки SS7. При должном уровне знаний можно было обмануть сеть другого оператора, выдав хакерское устройство за гостевой коммутатор MSC/VLR.
Как описывают атаку в сфере кибербезопасности? Злоумышленник подключается к сигнальной сети SS7 зарубежного оператора и отправляет служебную команду Send Routing Info for SM (SRI4SM) в сетевой канал, указывая номер телефона атакуемого абонента в качестве параметра. Домашняя сеть абонента отправляет в ответ следующую техническую информацию: IMSI (International Mobile Subscriber Identity) и адрес MSC, по которому предоставляет услуги подписчику в настоящее время. Далее благодаря полученным данным атакующий регистрирует номер жертвы в подставном VLR через сообщение Insert Subscriber Data (ISD), имитируя, что абонент прилетел на отдых и в роуминге зарегистрировался в новой сети. После этого злоумышленник может получать SMS-сообщения, отправляемые этому абоненту.
Однако поставщики коммутационного оборудования, банки, операторы связи, владельцы мессенджеров и другие провайдеры интернет-услуг тоже знают об этом и не дремлют. Например, представители сферы интернет-услуг и банки используют двухфакторную авторизацию. Мобильные операторы связи используют защиту посредством SMS Home Routing. Этот метод используется для противодействия атакам, которые запрашивают информацию, необходимую для доставки входящего SMS-сообщения абоненту. Ранее в ответ на него посылались идентификатор абонента (IMSI) и адрес обслуживающего его узла (VLR). Теперь же каждый такой запрос направляется системе SMS Home Routing, которая возвращает в ответ несуществующий идентификатор абонента и свой адрес вместо реального адреса VLR, в котором зарегистрирован абонент. Таким образом, для запросов из других сетей возможно полное сокрытие реальных идентификаторов абонентов и адресов сетевого оборудования, по которым они зарегистрированы.
Кроме того, ведется реестр адресов сетевого оборудования, которое специально прописывается и настраивается. А потому, чтобы использовать SS7 на уровне сети, злоумышленник как минимум должен быть подключен напрямую к оборудованию какого-то оператора связи. Но это риски для такого оператора, поскольку его сеть при обнаружении просто заблокируют, а это грозит ему потерей репутации и бизнеса. Поэтому в телекоммуникационных сетях такое встречается нечасто. Да и поскольку все эти псевдосистемы злоумышленников в большинстве случаев представляются иностранными операторами (сообщают, что вы в международном роуминге), для собственной перестраховки абоненту в домашней сети просто достаточно отключить на телефоне международный роуминг.
Гайки затянуты, но…
Тем не менее атаки с применением SS7 продолжаются. В декабре 2019 года в отдел расследований киберпреступлений компании Group-IB обратились несколько российских предпринимателей. Неизвестные получили доступ к их переписке в Telegram. Пострадавшие пользовались смартфонами на iOS и Android, были абонентами разных федеральных операторов. Атаки происходили мгновенно.
Сперва пользователю в Telegram от официального аккаунта мессенджера приходил код подтверждения для входа, который он не запрашивал. Затем прилетала SMS с кодом активации, а практически сразу за ним приходило сообщение об успешном входе с нового устройства.
Злоумышленники попадали в аккаунт через мобильный интернет с IP-адресов из Самары.
Специалисты не обнаружили на смартфонах пострадавших никаких шпионских программ. «Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью SMS-кодов, получаемых при входе в аккаунт с нового устройства», — подчеркивается в отчете.
Как происходил взлом? Эксперты говорят, что при активации мессенджера на новом устройстве Telegram сперва отправляет код через официальный сервисный канал на все остальные устройства, а уже потом по запросу отправляется и SMS-сообщение. Злоумышленники якобы сами инициируют такой запрос и перехватывают SMS. С кодом из эсэмэски они успешно логинятся в мессенджере и получают доступ ко всем файлам, фотографиям и перепискам.
В этой истории есть два важных момента: перехват SMS (про который мы рассказали выше и с которым борются как могут) и отсутствие двухэтапной аутентификации у потерпевших.
Двухэтапная авторизация
По умолчанию аутентификация в Telegram происходит с помощью проверочного кода. Он является одноразовым и присылается либо в SMS, либо в виде сообщения в мессенджере в том случае, если вы пытаетесь залогиниться с нового устройства. Telegram иногда пользуется услугами мобильных операторов для отправки кодов авторизации. Но уже больше пяти лет назад у мессенджера появился дополнительный этап входа — пароль, который пользователь сам задает в приложении.
Допустим, вы все время пользуетесь «телегой» на смартфоне, а потом решили зайти в мессенджер через веб-интерфейс в браузере компьютера. Вбиваете свой номер телефона, и через сервисный канал самого мессенджера от официального аккаунта Telegram вам приходит сообщение с кодом подтверждения. После его ввода в браузере вы успешно залогинились.
Но если у вас включена двухэтапная аутентификация, то после кода подтверждения необходимо ввести еще и пароль, который знаете только вы.
Эксперты советуют: двухэтапную аутентификацию следует обязательно включить в настройках конфиденциальности Telegram. В последнем инциденте с сотрудниками Tut.by отмечалось, что на одном из аккаунтов она была включена. Некто смог верно ввести код подтверждения, но не справился с дополнительным паролем и не получил доступ к переписке аккаунта.
— Если брать техническую составляющую, Telegram очень сильно защищен. Они молодцы. Но действительно, стоит понимать, что можно получить физический доступ к устройству. В таком случае технологическая составляющая безопасности не поможет, — цитируем Александра Сушко, главу Group-IB в Беларуси.
Многие злоумышленники осуществляют установку вредоносных программ на устройства. Это может быть программа, которую человек сам скачает, либо заражение через фишинговую ссылку. Такой вредонос позволит перехватывать и переписку, и звонки, и SMS.
Кроме вредоносов, это могут быть и уязвимости телекоммуникационных сетей. Та же SS7, которая позволяет перехватывать SMS. Зная об этой уязвимости, важно устанавливать двухэтапную аутентификацию с дополнительным паролем. Это более безопасно.
Если у вас к аккаунту будет привязана SIM-карта европейская или китайская, то к аккаунту будет сложнее получить доступ. Но нужны доверенные лица, которые будут давать вам этот код доступа, когда вы будете заново авторизовываться.
Двухэтапная аутентификация включается в настройках конфиденциальности мессенджера. На iOS-устройствах она называется «Облачный пароль». Этот пароль можно привязать к адресу электронной почты, что позволит восстановить его в том случае, если вы его забудете. Но это необязательно, привязку можно пропустить. Тем самым пароль от Telegram будет храниться только у вас в голове. Это, вероятно, более надежный способ, если злоумышленники вдруг смогут получить доступ и к вашей почте.
Эксперты из телеком-индустрии говорят, что взлом посредством протокола SS7 если и возможен, то весьма непрост. Тем не менее инциденты с возможным перехватом SMS и взломом Telegram происходят. Теперь вы знаете, как обезопасить себя. Чтобы не пропустить наши новые ролики, подписывайтесь на канал на YouTube, дальше будет очень интересно.