Это перевод статьи с сайта словенского центра кибербезопасности.
С середины 2024 года SI-CERT зафиксировал случаи создания учетных записей пользователей на платформе Telegram с использованием словенских телефонных номеров, при этом сами учетные записи не создавались пользователями этих номеров. Аналогичным образом происходит захват существующих учетных записей Telegram, не защищенных дополнительным паролем. Собранная на данный момент информация указывает на то, что это не целенаправленные атаки. Аккаунты, скорее всего, создаются с целью их последующей перепродажи и не используются с целью причинения прямого вреда пользователям телефонных номеров.
С середины 2024 года SI-CERT получил несколько сообщений от пользователей, которые поняли, что кто-то зарегистрировал аккаунт в сети Telegram, используя их номер, и что они сами не регистрировались. Пользователи не получали никаких SMS-сообщений от Telegram во время регистрации, за исключением редких случаев, когда уникальный код никому не сообщался. Поскольку процесс регистрации не может быть завершен без знания кода проверки, SI-CERT пришел к выводу, что содержание SMS-сообщений или телефонных звонков перехватывается на пути передачи между внутренней системой Telegram и телефоном пользователя, или что злоумышленники имеют прямой доступ к внутренней системе Telegram. В то же время мы зафиксировали несколько случаев захвата существующих аккаунтов Telegram словенских пользователей, которые происходили, когда злоумышленники пытались зарегистрировать аккаунт Telegram на уже зарегистрированный номер телефона. В этом случае Telegram отправляет проверочный код вперед через системное сообщение в приложении, а затем может также отправить его через SMS и звонок. В этих случаях злоумышленникам также удавалось перехватить код, получить полный доступ к аккаунтам, установить дополнительный пароль и лишить пользователей возможности получить дальнейший доступ.
В ходе расследования различных случаев мы выяснили, что перехват происходит не на телефонах пользователей, например, с помощью вредоносного ПО, и не является так называемой атакой «подмены SIM», когда злоумышленники получают SIM-карту для телефонного номера от оператора. Кроме того, мы обнаружили, что в большинстве случаев в момент регистрации на данный телефонный номер не поступало никаких сообщений или звонков в сеть словенского оператора. Эти данные указывают на то, что перехват сообщений, скорее всего, происходит в внутренней системе Telegram или у одного из поставщиков услуг, используемых Telegram для отправки SMS-сообщений или совершения телефонных звонков. Дальнейший анализ злоупотреблений мог бы быть проведен при сотрудничестве с операторами платформы Telegram, но, к сожалению, мы не получили ответа от Telegram, несмотря на неоднократные и разнообразные попытки связаться с ними.
Злоумышленники всегда устанавливают дополнительный пароль 2FA на взломанных аккаунтах Telegram, а также задают некоторые данные профиля, например, имя, фамилию, краткое описание (био) и фотографию профиля. Эта информация выбирается совершенно случайно, без какой-либо закономерности, и не содержит персональных данных телефонных номеров реальных пользователей. В большинстве случаев эти аккаунты остаются неактивными в течение длительного периода времени, обычно не менее месяца, а в некоторых случаях они удаляются вскоре после создания, иногда менее чем за сутки. Ни в одном из случаев, рассмотренных до сих пор, не было попытки установить связь с неправомерно используемой учетной записи с одним из существующих контактов пользователя.
От переводчика: по такой схеме у нескольких знакомых в Словении уже были угнаны аккаунты.
Все посты подряд / Информационная безопасность / Хабр