Telegram подвергся кибератаке. Пользователи сообщают о массовых попытках «угона» аккаунтов. В чем состоит механизм похищения и как от него защититься? Телеканал «МИР 24» спросил эксперта по кибербезопасности Павла Мясоедова.
Обычно, насколько я знаю, для того, чтобы захватить аккаунт, используют так называемые фишинговые ссылки. А как действует процесс похищения в данном случае?
— Если позволите, начну с небольшой статистики, сейчас вышли последние данные от наших коллег. Количество фишинговых атак на мессенджеры за прошлый год увеличилось на 800%. Причем статистика совпадает сразу у нескольких компаний. Такую активизацию можно, в первую очередь, связать с тем, что мессенджеры набирают популярность, практически все сферы жизни ими охвачены. Появляются дополнительные встроенные сервисы. И, естественно, мошенники не дремлют и находят различные возможности вытащить персональные данные или пароли непосредственно в самих сообщениях.
Работает это достаточно просто на первый взгляд. Вам приходит заманивающая ссылка. В декабре была настолько массированная атака, что министерство цифрового развития даже сделало официальное заявление о подобных атаках на Telegram. На моей памяти, раньше на таком высоком уровне о подобных атаках не говорили. Пользователям Telegram присылали предложения перейти по подарочной ссылке и получить бесплатно премиум аккаунт. Мошенники разного вида уловками – рекламными, завлекающими – делают эти рассылки. После чего человек в первый момент, естественно, импульсивно проходит по ссылке, и там происходит кража данных.
При этом забывая, что бесплатный сыр бывает только в мышеловке и, как правило, достается второй мышке. Опять же, есть статистика, что сейчас, в середине января, активность усилилась. А с чем это связано? У кибермошенников тоже были праздники? Они их отгуляли, кончились деньги, и они начали атаковать?
— Ну конечно, можно связать и с этим, мошенники тоже люди. Но больше это связано с тем, что во время праздников активность в соцсетях и вообще в электронном пространстве, на торговых площадках традиционно уменьшается. Пика она достигает в конце декабря, а в январе идет спад. Понятно, люди отдыхают, стараются минимизировать цифровой шум вокруг себя и в принципе отвлечься от сложного информационного фона. А когда они возвращаются в рабочий режим, естественно, начинают смотреть мессенджеры в часовых исчислениях гораздо больше. Они там сидят по работе, еще по каким-то делам. И, конечно, в этот момент мошенники начинают их пытаться подцепить, найти возможность выйти на их данные. Поэтому, конечно, в январе обычно статистика начинает снова расти.
Вы говорили, что взламывают аккаунты, угоняют пароли. Но пароль от чего можно угнать в аккаунте в Telegram? Не хранят же люди там реквизиты своих банковских счетов?
— Да, хороший вопрос. Самая простая и самая распространенная цель такого рода атак – это кража доступа к самому мессенджеру. Вам приходит какая-то ссылка, по которой вы переходите и даете ваши данные – пароль и логин, которые используете в Telegram. Более того, в этом мессенджере вы периодически можете быть отвязаны от вашего телефонного номера. Мошенники таким образом заполучают доступ к нему, и в течение какого-то времени себя даже не проявляют. Не всегда у мошенников цель вас открыто взломать и после этого сидеть в вашем мессенджере, срочно делать какие-то рассылки. Нет, они там могут не проявляться даже через несколько дней. Если вы сильно не бдите, и у вас не приходят пуш-уведомления или уведомления на почту, вы можете даже про это не знать. А эти уведомления надо включать.
Вы можете не знать, что к вашему Telegram имеется доступ с какого-то внешнего устройства. И здесь опасность затаившихся мошенников растет. Потому что впоследствии в Telegram возможно общение и с банковскими менеджерами, если у вас есть персональный, либо дальнейшее проникновение вглубь телефона. То есть получение вашего телефонного номера, а следом с доступа к пуш-уведомлениям.
Естественно, какая-то массовая рассылка через Telegram таким образом происходит. Telegram, как и другие мессенджеры, становятся средой, где мы не только переписываемся. Мы там что-то покупаем, там есть встроенный инструмент оплаты. И мошенник через какое-то врем может начать орудовать по этим каналам, группам, где при определенных условиях может совершить транзакции от вашего имени.
Тогда выходим на главные вопросы. Как от этого можно уберечься? Как определить, что у твоего друга аккаунт взломан, когда приходит некая ссылка вроде бы от него? А можно определить, что это уже не он пишет?
— Главное, держать в голове, что бесплатный сыр бывает только в мышеловке. И старый метод – проверить перед тем, как что-то сделать, тоже действует. Но опять же, мошенники стараются, чтобы вы сделали это, не задумавшись. Честно вам скажу, когда была якобы премиум рассылка, в течение доли секунды я сам подумал, а вдруг это какая-нибудь пиар-акция или еще что-то? Потом, конечно, вспомнил о том, что я кибер-эксперт и понимаю, как эта механика работает, и не позволил своим пальцам перейти по этой ссылке. И сразу предупредил всех своих друзей и знакомых, что не надо этого делать.
Но, тем не менее, наверное, самый эффективный метод – это включить двухфакторную аутентификацию в самом мессенджере. Это старый, но проверенный и эффективный метод.
Он заключается в том, что, если кто-то пытается получить доступ к вашему аккаунту, помимо пароля и логина человеку нужно ввести определенный код, который приходит на его мобильный телефон. Почему это эффективный метод? Потому что телефонный канал связи, по которому приходит смс, и канал связи, который используют мессенджеры – это два разных канала. И одновременно компрометировать и тот, и тот технически достаточно сложно. Можно, но сложно. Поэтому двухфакторная аутентификация может обезопасить в очень высокой степени.
Проверьте, послушайте, не торопитесь. Если это какое-то предложение, оно будет существовать несколько часов. Хотя, если честно, я не очень представляю, какие реальные бесплатные предложения могут в таком виде могут приходить. Если что-то приходит от вашего товарища и друга, свяжитесь с ним по альтернативному каналу связи. Не в самом мессенджере, а позвоните ему.
Или смс послать по мобильной связи?
— Да, по смс. Потому что, если интернет канал связи компрометирован, больше вероятности, что другие аналогичные сервисы, использующие тот же канал связи, тоже могу быть скомпрометированы. Более того, бывают цикличные почтовые ящики. То есть если нужно получить доступ к одному ящику, может прийти проверочное сообщение на ваш другой ящик. Соответственно, по цепочке можно взломать все подряд. Поэтому позвоните человеку по обычной связи.
Я правильно понял, что, если человек инстинктивно поверил и пошел по этой ссылке, то отыграть назад вряд ли получится?
— Назад отыграть можно, но нужно сразу предпринять срочные действия. Нужно заморозить инструменты оплаты, которые вы использовали в этом мессенджере. Если вы не помните, какие карточки вы могли потенциально использовать в каких-то группах, то просто зайдите в свой банк-клиент и на время заморозьте карту, остановите транзакции по ней. А потому уже разбирайтесь. Поищите, действительно ли вы использовали эти карты в каких-то группах, и сразу напишите в поддержку мессенджера.
Более того, обычно есть встроенные возможности временно отвязать ваш аккаунт. То есть зайдите в настройки мессенджера, посмотрите, какие из них наиболее применимые. В любом мессенджере в настройках будут какие-то советы, как заблокировать аккаунт, отвязать телефон и написать в службу поддержки. Обычно по таким запросам службы поддержки реагируют достаточно оперативно. Они просто морозят действие вашего мессенджера на какое-то время до выяснения обстоятельств. И это позволит вам выиграть время и разобраться с проблемой.
Может быть просто тогда не сохранять данные карт в мессенджерах, аккаунтах, где угодно?
— Цифровая гигиена – это, конечно, панацея. Если вы не публикуете личные данные в социальных сетях, если в мессенджерах переписываетесь очень выборочно и не привязывали личный телефонный номер или скрывали его, если вы не осуществляли платежи через какие-то ссылки непосредственно из Telegram каналов, то, конечно, вы в безопасности. Если у вас есть еще лимиты на онлайн транзакции в ваших банк-клиентах, то это, конечно, самые хорошие варианты, тогда это действительно панацея. Но надо смотреть реально на вещи – у кого так бывает? Скорее всего, у тех людей, кто вообще находится вне информационного поля. Но это редко. Все современные люди периодически какие-то данные где-то публикуют. Но в целом, конечно, о цифровой гигиене надо помнить постоянно и, по возможности, удалять размещенную информацию. И оплачивать что-либо очень вдумчиво.
Это касается не только мессенджеров. Даже на торговых площадках предлагают сохранить данные карты, чтобы в следующий раз не вводить. Но зачем? Я лично потрачу лишние пару минут.
— Очень верное замечание! Когда вас спрашивают про сохранение карты, то здесь лучше семь раз отмерить, один раз отрезать. Далеко не каждому сайту можно доверять в части сохранения ваших платежных данных. Лучше вообще это делать каждый раз заново.
Тогда какая самая лучшая техника защиты аккаунта от кибератак?
— Двухфакторная аутентификация, цифровая гигиена и скорость реакции. В любом мессенджере есть раздел «активные сессии» или «подключенные устройства». Смысл в том, что они показывают, с каких устройств и когда происходил последний раз вход в программу. И если вы видите, что был вход с неизвестного устройства, да еще и недавно, там нужно сразу нажать на кнопку блокировки этого устройства. И так себя обезопасить.