Omrežje Telegram, ki ima 950 milijonov uporabnikov, deluje namreč na osnovi povezave s telefonsko številko, pri ustvarjanju računa pa mora uporabnik vnesti številko telefona, na katero nato dobi sporočilo s potrditveno kodo. Brez te kode, kot pravijo na Si-Certu, računa ni možno aktivirati. Na to dejavnost so postali pozorni, ko se je več slovenskih lastnikov različnih številk javilo, da so brez njihove vednosti registrirali račun na omrežju, a sami pri tem niso sodelovali, običajno pa niso prejeli SMS sporočila o registraciji.
Kodo prestrežejo preden pride do vas
»Postopka registracije ni možno skleniti brez kode, na SI-CERT pa ugotavljamo, da na poti med sistemom Telegrama in telefonom uporabnika prihaja do prestrezanja vsebine SMS sporočil ali telefonskih klicev ali pa da imajo storilci neposredni dostop do sistema Telegrama,« pravijo na Si-Cert.
A ne le to, zgodilo se je tudi, da so nepridipravi celo prevzeli obstoječe Telegramove račune slovenskih uporabnikov. Pri tem so napadalci poskusili registrirati račun na telefonsko številko, ki je že bila registrirana. V tem primeru Telegram pošlje verifikacijsko kodo naprej preko sistemskega sporočila v aplikaciji, nato pa lahko tudi preko SMS sporočila. Tudi v teh primerih je napadalcem uspelo prestreči to kodo, s čimer so pridobili popoln dostop do računov, v njih nastavili dodatno geslo in uporabnikom onemogočili dostop.
Prestrezanje teh kod pa se ne zgodi pri telefonskih uporabnikih s kakšno zlonamerno programsko opremo ali s pridobivanjem SIM kartice. »Do prestrezanja prihaja v zalednem sistemu Telegrama ali pa pri enem od ponudnikov storitev, ki jih Telegram uporablja za pošiljanje SMS sporočil,« še pravijo in dodajajo, da bi to dogajanje lahko bolj natančno raziskali, a le ob sodelovanju Telegrama. Na njihove poskuse navezave stika pa iz Telegrama niso dobili nobenega odziva.
Računi ostanejo neaktivni ali jih izbrišejo
Zanimivosti
Ozaveščenost o pomenu zavarovanj se v Sloveniji iz leta v leto povečuje
V večini primerov ti »ukradeni« računi ostanejo neaktivni običajno vsaj mesec dni, v nekaterih primerih pa so jih kmalu po kreiranju tudi izbrisali, včasih v manj kot enem dnevu.
Zabeležili pa so primere, ko se je vzorec kreiranja računa po nekaj mesecih od izbrisa računa ponovil, niso pa napadalci poskusili vzpostaviti komunikacijo iz zlorabljenega računa z enim od obstoječih kontaktov uporabnika.
Na Si-Cert menijo, da računi niso prevzeti zaradi škodljivih aktivnosti proti uporabnikom telefonskih številk, najverjetneje so jih ustvarili za kasnejšo preprodaje na črnem trgu. Kupci teh računov jih lahko uporabijo za različne dejavnosti ne Telegram omrežju, med drugim tudi za izvajanje nelegalnih aktivnosti, od pošiljanja spam sporočil, phishing napade, investicijske prevare in podobno. Na Si-Cert takih aktivnosti s slovenskimi računi še niso zasledili.
Na Si-Cert sicer svetujejo, da uporabniki telegrama svoje račune zaščitijo z geslom, pri takih računih se že omenjeni prevzemi ne dogajajo saj napadalci najverjetneje nimajo načinov kako zaobiti gesla, lahko pa poskušajo do gesla priti s tako imenovanim phishing napadom, ko uporabniku pošljejo sporočilo, ki na prvi pogled deluje kot da je prišlo iz uradnega Telegram kanala.
Sumljivo komunikacijo sporočite na Si-Cert
»Bodite pa pozorni pri komunikaciji s kakšnim od vaših kontaktov na Telegramu, saj obstaja možnost, da s tem računom upravlja tretja oseba. V primeru neobičajne komunikacije preverite kontakt preko neodvisnega kanala, na primer s telefonskim klicem ali z e-pošto,« svarijo pri Si-Certu, ki vse slovenske uporabnike prosijo, da vsak primer sumljivega delovanja na Telegramu sporočijo na cert@cert.si.
