Со взломом столкнулись предприниматели, у которых были устройства как на iOS, так и на Android. Как отмечают в Group-IB, у всех них единственным фактором авторизации были СМС.
Атака начиналась с того, что пользователю приходило сообщение от сервисного канала Telegram с кодом подтверждения, хотя он его не запрашивал. После этого он получал СМС с кодом активации. А через некоторое время приходило оповещение о входе в его аккаунт с другого устройства.
Как пояснили эксперты, дело в том, что при активации мессенджера на новом устройстве Telegram отправляет код авторизации на все устройства пользователя, а потом, по запросу, — СМС-сообщение на телефон. Таким образом, злоумышленники инициировали запрос на отправку СМС, после чего перехватывали сообщение с кодом активации и получали доступ к чатам.
Как предполагается, они заходили в чужие аккаунты с одноразовых SIM-карт.
"Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях", — добавили в Group-IB.
Эксперты рекомендуют устанавливать в Telegram и других мессенджерах пароль как дополнительный способ авторизации, однако не пользоваться для его восстановления электронной почтой, поскольку это также делается с помощью СМС.