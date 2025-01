Ob tem so zabeležili tudi več primerov prevzemov obstoječih Telegram računov slovenskih uporabnikov, ki so se zgodili na način, da so napadalci poskusili registrirati račun na telefonsko številko, ki je že bila registrirana. V tem primeru Telegram pošlje verifikacijsko kodo naprej preko sistemskega sporočila v aplikaciji, nato pa lahko tudi preko SMS-sporočila in klica. Tudi v teh primerih je napadalcem uspelo prestreči to kodo, s čimer so pridobili popoln dostop do računov, v njih nastavili dodatno geslo in uporabnikom onemogočili nadaljnji dostop.

"Ker postopka registracije ni možno zaključiti brez poznavanja verifikacijske kode, na SI-CERT ugotavljamo, da na prenosni poti med zalednim sistemom Telegrama in telefonom uporabnika prihaja do prestrezanja vsebine SMS-sporočil ali telefonskih klicev ali pa da imajo storilci neposredni dostop do zalednega sistema Telegrama," pravijo.

Kot so opozorili, so od sredine leta 2024 prejeli več prijav uporabnikov, ki so ugotovili, da je nekdo registriral račun na aplikaciji z njihovo številko, pri čemer te registracije niso opravili sami. Uporabniki niso prejeli nobenega SMS-sporočila, razen v redkih primerih, a tudi takrat enkratne kode niso nikomur sporočili.

Račun na Telegramu, eni najbolj razširjenih aplikacij za hipno sporočanje, je vezan na telefonsko številko. Postopek registracije poteka tako, da uporabnik v aplikaciji vnese svojo številko, Telegram pa na to številko pošlje SMS-sporočilo z enkratno kodo, s katero uporabnik verificira svojo številko. Če SMS-sporočilo ni bilo dostavljeno, lahko uporabnik sproži način pošiljanja verifikacijske kode preko telefonskega klica. Uporabnik Telegram računa ne more registrirati brez poznavanja te enkratne kode, pojasnjujejo na SI-CERT.

SI-CERT je med preiskavo ugotovil, da se prestrezanje ne zgodi pri telefonskih uporabnikih (denimo preko zlonamerne programske opreme, prav tako ne gre za t. i. napad SIM swap, pri katerem napadalci s strani operaterja pridobijo SIM-kartico). V večini primerov v času registracije do omrežja slovenskega operaterja ni bilo dostavljeno nobeno sporočilo ali klic za predmetno številko.

"Ti podatki kažejo na to, da do prestrezanja komunikacije najverjetneje prihaja v zalednem sistemu Telegrama ali pa pri enem od ponudnikov storitev, ki jih Telegram uporablja za pošiljanje SMS-sporočil oz. izvajanje telefonskih klicev. Nadaljnjo analizo zlorabe bi lahko izvedli s sodelovanjem upravljavcev platforme Telegram, žal pa iz Telegrama kljub večkratnim in različnim poskusom vzpostavitve kontakta nismo prejeli odgovora," dodajajo.

Napadalci sicer na prevzetih Telegram računih vedno nastavijo dodatno 2FA geslo, prav tako pa tudi nekaj podatkov v profilu, kot so denimo ime, uporabniško ime, kratek opis in profilno fotografijo. Ti podatki so izbrani povsem naključno, brez nekega vzorca, in ne vsebujejo osebnih podatkov dejanskih uporabnikov številke. V večini primerov ti računi nato ostanejo neaktivni dalj časa, običajno vsaj mesec dni, v nekaterih primerih pa so ti računi kmalu po kreiranju izbrisani, včasih že v manj kot enem dnevu.

Zabeležili so tudi primere, ko se je vzorec kreiranja računa po nekaj mesecih od izbrisa računa ponovil. V primerih, ko pride do prevzema že obstoječega računa, pa po trenutno znanih informacijah napadalci poleg že navedenih aktivnosti izbrišejo vse obstoječe kontakte in pogovore. V nobenem od do sedaj obravnavnih primerov ni prišlo do poskusa vzpostavitve komunikacije iz zlorabljenega računa z enim od obstoječih kontaktov uporabnika.

Na SI-CERT menijo, da računi niso kreirani oz. prevzeti z namenom izvajanja škodljivih aktivnosti, ki bi bile usmerjene neposredno proti uporabnikom telefonskih številk. Najverjetneje so ustvarjeni z namenom kasnejše preprodaje le-teh na črnem trgu. Kupci teh računov jih lahko uporabijo za različne dejavnosti ne Telegram omrežju, med drugim tudi za izvajanje nelegalnih aktivnosti (npr. pošiljanje spam sporočil, phishing napade, investicijske prevare ipd.). Na SI-CERT sicer do sedaj še niso naleteli na tak primer, da bi to lahko potrdili ali ovrgli.

Kaj lahko storite sami?

SI-CERT uporabnikom svetuje, da Telegram račun vedno zaščitijo z geslom. Pri računih, ki so zaščiteni z geslom, se namreč ne dogajajo prevzemi, zato predvidevajo, da napadalci ne razpolagajo z možnostjo obhoda te zaščite. Možno je sicer, da uporabnikom v primeru nastavljenega gesla le-tega poskušajo ukrasti preko phishing napada, denimo, da jim pošljejo sporočilo, ki izgleda, kot da bi prišlo iz uradnega Telegram kanala.

V primeru, da imajo uporabniki Telegram račun zaščiten z geslom, se lahko zgodi, da napadalci sprožijo postopek ponastavitve računa. O tem Telegram uporabnike obvesti s sistemskim obvestilom, ti pa imajo nato 7 dni časa, da postopek ponastavitve prekinejo.

"Če nimate Telegram računa, lahko kreiranje Telegram računa s strani neznanih oseb preprečite zgolj tako, da sami kreirate Telegram račun s svojo telefonsko številko in ga zaščitite z geslom. Kakšen drug način, kako bi lahko preprečili kreiranje Telegram računa z vašo telefonsko številko brez vaše vednosti, nam ni znan."

V primeru, da so vam že prevzeli Telegram račun, ali pa ste ugotovili, da je bil kreiran račun z vašo telefonsko številko, lahko pošljete prijavo zlorabe na Telegram. Na SI-CERT sicer opozarjajo, da do sedaj uporabniki še nikoli niso prejeli povratnega odgovora s strani podjetja.