Foto seller.ozon.ru
Atacul este deja utilizat împotriva utilizatorilor din diferite țări și nu necesită hacking în infrastructura serviciului.
Potrivit analiștilor CYFIRMA, atacatorii își înregistrează propriile chei API Telegram (api_id și api_hash) și le utilizează pentru a iniția proceduri legitime de conectare la conturile utilizatorilor. Toate solicitările trec prin infrastructura oficială a mesageriei, ceea ce face dificilă detectarea unui atac într-un stadiu incipient.
Scenarii de atac
Potrivit cercetătorilor, campania este realizată în cel puțin două scenarii.
În primul caz, utilizatorului i se propune să se autorizeze folosind un cod QR conceput vizual în stilul Telegram. După scanarea codului, o nouă sesiune este creată în aplicația mobilă, iar atacatorul preia controlul asupra acesteia.
În a doua variantă, victima este convinsă să introducă manual un număr de telefon, un cod de confirmare unic sau date de autentificare cu doi factori. Aceste informații sunt transmise imediat prin API-urile oficiale Telegram pentru a finaliza procesul de autentificare.
Elementul-cheie al atacului este etapa de confirmare a autentificării. Telegram trimite în mod obișnuit o notificare de sistem către utilizator cu privire la încercarea de a se conecta de pe un dispozitiv nou. În acest moment, resursa de phishing care a inițiat procesul de autorizare explică notificarea ca făcând parte dintr-o „verificare de securitate obligatorie” sau „verificare a contului” și încurajează utilizatorul să confirme autentificarea.
În consecință, proprietarul contului face el însuși clic pe butonul de confirmare și autorizează oficial accesul la profilul său. Din punct de vedere tehnic, o astfel de sesiune este considerată pe deplin legitimă.
Scalare și implicații
Conform evaluării CYFIRMA, campania este construită modular, cu un backend centralizat. Domeniile utilizate pot fi înlocuite rapid fără a modifica logica de atac de bază, ceea ce face dificilă blocarea infrastructurii.
Odată ce un cont este compromis, atacatorii îl folosesc de obicei pentru a trimite e-mailuri de phishing contactelor victimei. Acest lucru permite atacului să se extindă rapid prin exploatarea încrederii dintre utilizatori.
