Как у меня чуть весь Telegram не угнали

В продолжение этого и этого.

Если вкратце, у меня чуть не угнали несколько аккаунтов в Telegram. Почему я вообще это пишу? Я ж публичный более менее, потому и пишу. Чтоб потом вопросов не было, где я пропадал полгода :)

Предыстория

У меня 3 телеграм аккаунта.

Первый на физической симке. (спойлер – 70% успеха)

Второй на виртуальной симке от Тинькофф. (спойлер – 100% успеха)

Третий на смс-активейте. (спойлер – 0% успеха)

Для справки

1. Последняя моя авторизация с помощью тг была очень давно, на одном из аккаунтов ее вовсе не было.
2. На моем iphone нет ничего кроме базовых аппок (tg, yandex go, delivery – полный набор базы)
3. Мак полностью чист, ни одного даже пиратского софта не стоит, только база в виде Telegram, VS Code и еще пары плюх.
4. Везде +- последние обновления, iMessage не использую, даже отключил прелоад всех медиа, когда пошла байка об RCE в Telegram.
5. На каждом устройстве есть еще аккаунты, которые не участвовали во всех этих событиях и также не были мной нигде когда-либо освещены. (важно)
6. В целом я довольно осторожен в сети, более чем, конкретно по авторизациям, не по персоналке конечно :)

История

Сегодня ночью я прилетел домой, сел смотреть ютубчик, как неожиданно на мой первый аккаунт прилетает уведомление от Telegram с кодом подтверждения на авторизацию.

Я к этому привык, раз в несколько месяцев мне кто-то спамит и вот такая вот ситуация, но тем не менее всегда остаюсь на минут 5 и мониторю ситуацию, открывая список сессий.

Следом приходит такое же уведомление на второй и третий аккаунты, что говорит о том, что инициатору известны все 3 номера и связь между ними в виде меня.

Обосрался (x1)

На данном этапе в сессиях никого лишнего, только 2 моих устройства. (важно)

Следом идет SMS-сообщение на номер первого аккаунта, затем сразу же на номер второго аккаунта (через 5 минут на номер второго пришел еще и звонок с кодом), по третьему аккаунту ничего сказать не могу, смс-активейт же.

Обновляю сессии, в них появляется устройство Xiaomi (у меня их никогда не было) из Польши (nmap дал понять, что это OpenVPN на сервере от remoteadmin.store)

Обосрался (x2)

Пока я 5 секунд размышлял и скринил мне на email первого аккаунта прилетает код восстановления доступа от Telegram (иначе – сброса 2fa)

Быстро закрываю эту сессию и вторую свою.

Следом снова код подтверждения Telegram, снова закрываю сессию, уже на двух аккаунтах (на нем 2fa нет, полагаю авторизация прошла успешно, но меня не успели выгнать). Третий аккаунт находился без движений.

В порыве страсти меняю пароль от 2fa и email (раньше там была конская залупа в виде яндекса, сейчас другое)

Через некоторое время пришло следующее сообщение от Telegram:

Сейчас вроде перестало, но надолго ли? Сможет ли через день инициатор повторить содеянное? Зависит от того кем был инициатор и где я запоролся.

Ясно точно, что второй аккаунт был успешно скомпрометирован, но не надолго.

Причины и следствие

Долго я (и не только я) размышляли обо всем этом, сканировали IP инициатора на предмет чего-то интересного, но точного вывода так и не сделали, зато теперь я точно могу сказать, что не являлось причиной и оставить возможные варианты.

Что точно не могло произойти?

1. Вирусы, стиллеры, компрометация tdata. – полностью исключено по причинам из справки, а также исходя из того, что вход был совершен лишь после SMS-кода. Кроме того, отсутствовали и так левые сессии, а еще не было задето ничего кроме Telegram.
2. Перевыпуск SIM. – здесь все очевидно, они до сих пор в рабочем состоянии.

Что могло произойти?

1. Слив информации от оператора(-ов), в моем случае Тинькофф Мобайл. И не важно каким образом, будь то дяди или дурак сотрудник связался не с теми. В случае с дядями, вариант возможен, если нет док. базы но я по чьему-то мнению в чем-то виноват, вот только не припомню в чем, жвачку, бл*ть, украл?
2. Взлом SMS-провайдера самого Telegram. – не хочу отрицать то, в чем не могу быть уверен.

Если представим, что это первый вариант и инициатором являлся не какой-то очередной мудак, обидевшийся на меня в одном из чатов, то первый аккаунт мог бы пойти в след за вторым полностью, ведь изначально у меня был Yandex Mail.

А кто идет на это, так еще и на конкретную цель, наверняка понимает, что столкнется с 2fa и скорее всего имеет достаточно влияния для ее обхода, в моем случае это был бы очевидный путь.

Других объяснений, исходя из которых были задеты все аккаунты я не вижу.

Как от этого предостеречься?

Вообще, от всех угроз не защититься, это должно быть очевидно, но максимально поможет следующее:

1. На 2fa иметь надежного email-провайдера, который с большей вероятностью не сотрудничает со всякими государствами, и вообще малоизвестен, я бы посоветовал cock.li, давно ребят знаю, а еще лучше держать непонятный домен где-нибудь на njal.la, на котором по нужде поднять почтовый сервер. Выходит почту как бы создать и можете, но ее как бы и нет :)
2. Использовать анонимные номера +888. Важно понять, что речь здесь в большей мере не об анонимности, а о том, что их использование защитит как минимум от атак каких-то конкретных лиц, но не защитит, если на вас охотится весь мир (и то, как бы, не факт, я полностью уверен во фрагменте исходя в том числе из того, что всему миру проще завалиться сразу в Telegram, а вот этот геморрой с запросами к Fragment, камон, запросами к криптопроекту, ну, никому нах*й не нужен)

Немного добавлю еще ко второму пункту. Номер можно 1 раз использовать и сжечь, тогда даже компрометация TON-кошелька не поможет атакующему, но по номеру вы больше не войдете, только Telegram-код.

Мои слова по поводу номеров подтверждает также их цена, они имеют высокий спрос серди тех, кому необходима надежность аккаунта, в тч админ коммьюнити и всякого рода «блечеры», к тому же отношение со стороны Telegram в плане всяких блокировок резко улучшается, внезапно :)

Итог

Думайте сами. Кому оно надо – знают или уже используют. Кому не надо – будут ворчать в комментариях, посколько не понимают смысла тратить 500$, хотя в любой момент можно и продать по той же цене или дороже.

А мое дело было рассказать то, что произошло и объяснить свою позицию, касаемо этих номеров.

Кто желает отрицать факты – странно, что вы вообще это читаете... Почему не вацап/вайбер, вроде, актуалочка?