Легкий способ избавиться от телеграм-зависимости
gorСплоет бродит по Европе..
Последнее время в телеге идет новая волна красивого, качественного фишинга, направленного на high profile цели. Ловят федеральных чиновников, крупных бизнесменов и других небедных людей — а потом переключаются на их контакт-лист.
Итак, представьте, что хороший знакомый добавляет вас в группу и пишет:
Текст, подводящий к ссылке, может быть любым: например, человек смущенно поясняет, что коллеги устроили дурацкое голосование и он не мог отказаться. Главное, что сообщения очень живые и личные. Если в обычной переписке собеседник злоупотребляет emoji или ставит пробел перед запятой (больной ублюдок), то и здесь авторский стиль сохранится. Чтобы развеять сомнения, вы кликаете по его аватарке — и попадаете в профиль, где указаны правильный юзернейм, номер телефона и ссылка на реальную историю переписки. В чем же подвох? В том, что он сам недавно повелся на этот трюк.
А вот общие друзья, которых вы видите в той же группе, уже не настоящие. Это боты, которые носят их лица и имена и фреймят всю ситуацию так, чтобы вам было неудобно не поддержать товарища.
В итоге вы решаете помочь и переходите по ссылке. Открывается вполне приличный сайт (в данном примере скаммерсанты сэкономили на дизайне, но обычно лэндинг не вызывает вопросов).
Дальнейшее — дело техники. Злоумышленники автоматически скачивают все диалоги, парсят сообщения на сид-фразы и пароли, а главное — анализируют собеседников и ваш стиль общения, чтобы использовать его для последующих атак на самых интересных людей из списка контактов. Вероятно, на днях добавят генерацию кружочков и голосовух на основании добытых из переписки — и немалый процент пробива подрастет еще в несколько раз.
А что же сплоет, упомянутый в эпиграфе? Да, ходит и такой. На днях в клиенте Telegram Desktop под Windows нашли уязвимость, позволяющую удаленно выполнить код на PC вообще без каких-либо действий с вашей стороны, т.н. zero-click vulnerability. Баг прячется в обработке медиа-контента, поэтому если в настройках клиента стоит «автоматическая загрузка медиа» (а она стоит у всех), то достаточно зайти в канал или чат с отравленным видео. Понятно, что у вас-то топовый черный макбук, а у вашего главбуха? То-то же. Пусть зайдет в настройки, "Расширенные", "Автоматическая загрузка медиа" и отключит там все и везде - целее будет.
Но этот баг скорее всего исправят в ближайшее время (даже странно, что он уже четвертый день живет). А вот человек останется уязвимым, поэтому атаки по вектору социальной инженерии будут только нарастать. Двухфакторка в таких случаях не спасает, потому что человек сам вводит пароль на фишинговом сайте. А если и не вводит, то его любимый пароль iloveyou, придуманный при регистрации почты на mail.ru в 2004 году, известен уже чуть более чем всем. Осталось прикрутить AI, чтобы распространить персонализированные атаки на массовый сегмент — и живые позавидуют мертвым.
Короче, обывателя не спасти (утешает лишь то, что ему и терять особо нечего). А вот тем, для кого ущерб от утечки деловой переписки может оказаться критическим, имеет смысл подумать о защите слабых мест. Не говоря уже о том, что многие держат в телеге всю личную жизнь, начиная с паролей к счетам и заканчивая интимными фото. Представьте, какие откроются богатые возможности для шантажа, если всё это окажется в чужих руках:
Подводя итог, позволю себе напомнить основные заповеди телеграм-безопасности: разделяйте свои рабочие и личные аккаунты, придумайте для них уникальные пароли 2FA, никогда не вводите эти пароли в браузере и не забывайте ставить автоудаление на чаты с критической информацией.
А прямо сейчас зайдите в «Настройки» => «Безопасность» => «Активные сессии» (или «Settings» => «Devices» на телефоне) и внимательно присмотритесь к перечисленным устройствам. Вот эта сессия из Rotterdam, Netherlands — точно ваша?
(прикомандированный сотрудник Управления Федеральной Службы Блогеров специально для канала https://t.me/auantonov)