اكتشف فريق Semicolon، المتخصص في أمن المعلومات، هجومًا إلكترونيًا واسع النطاق يستهدف مستخدمي تطبيق المراسلة Telegram. يتيح استغلال ثغرة أمنية في التطبيق للمهاجمين اختراق الحسابات دون أي اتصال أو تفاعل مع الضحية، مع العلم برقية تم تصنيف تطبيق التطبيق كواحد من أكثر تطبيقات المراسلة أمانًا في العالم.
في تفاصيل الهجوم الذي تم تداوله في لبنان خلال الأيام القليلة الماضية، كشف الفريق أن الخلل الأمني يكمن في ميزة رمز التحقق لمرة واحدة التي يتم إرسالها إلى المستخدمين عند محاولة الوصول إلى حساباتهم من جهاز أو متصفح جديد، والذي يستخدمه المستخدمون. بحاجة للدخول لتأكيد ملكية الحساب.، يستخدم المهاجم كان الخلل هو الحصول على رمز نيابة عن مستخدم، مما يسمح له بالوصول إلى حساب وعرض محادثات المستخدم ورسائله دون إذن المستخدم أو علمه.
يحتوي Telegram على نوعين من رموز التحقق، يتم إرسال الأول عبر الرسائل القصيرة، إذا كان المستخدم جديدًا على التطبيق ولم يفتح حسابه من أي جهاز أو متصفح من قبل، والثاني يتم إرساله عبر رسالة في تطبيق Telegram نفسه ( من حساب Telegram الرسمي والمحقق). بعلامة زرقاء) إذا كان الحساب تم تفعيله سابقًا على جهاز أو متصفح آخر، ما يلفت الانتباه في هذا الهجوم أنه يستهدف النوع الثاني، حيث أن جميع الحالات التي تم رصدها وتحليلها كان الضحايا يتلقونها عبر رسائل من Telegram في كود تفعيل التطبيق، وليس عبر الرسائل النصية، فهم تم إخطارهم قبل ثوانٍ من اختراق الحساب. تم فتحه واستخدامه على جهاز جديد.
كيف يحدث الهجوم؟
وفقًا لتقرير، بناءً على تحليل تقني، استخدم المهاجمون قوائم مُسربة أو مُنشأة بشكل غير قانوني تحتوي على أرقام هواتف مرتبطة بحسابات Telegram، وقد تكون مشابهة للقائمة التي تم تسريبها من خدمة WhatsApp قبل بضعة أشهر وأثرت على أكثر من 487 مليون مستخدم تم النشر بواسطة فريق Cybernews. 25٪ من القاعدة تم بيع البيانات مقابل ما يقرب من 7000 دولار في منتديات الويب المظلمة.
يستخدم المهاجمون القوائم لمهاجمة أكبر عدد ممكن من الحسابات بشفرات ضارة تلقائيًا في فترة زمنية قصيرة. بمجرد أن تحتوي الأجهزة (الروبوتات) المستخدمة في الهجوم على رموز التحقق، قاموا ببساطة باختراق الحسابات قبل انتهاء صلاحية الرموز (تنتهي صلاحية الرموز في غضون 5 دقائق).
ما الخلل الأمني الموجود؟
Telegram هو المسؤول الوحيد عن الكشف الدقيق عن الأسباب الكامنة وراء الخرق الأمني ، ولكن بناءً على التقديرات الأولية للفريق، من المتوقع أن يكون الخلل ناتجًا عن عيب أمني في إحدى خدمات Telegram التي سمحت للمتسللين بإنشاء عدد غير محدود من رموز التحقق، أو ما يسمى هجوم القوة الغاشمة. لاحظ أن رمز التحقق يتكون من 5 أرقام فقط، مما يجعل من السهل اكتشافه في ثوانٍ إذا كانت هناك ثغرة أمنية، أو قد يكون الخلل ناتجًا عن ضعف في نظام تشفير الرسالة التي تحتوي على رمز التحقق المرسل في Telegram، مما قد يؤدي إلى عندما يعترض المهاجم حزمة، تظهر الشفرة بوضوح بدون تشفير. استنشاق الحزمة لمعرفة محتوياتها.
من يقف وراء الهجوم؟
تتبع فريق Semicolon عناوين بروتوكول الإنترنت المستخدمة في الهجوم وتمكن من تحديد مقدمي الخدمات الرئيسيين والأفراد المشتبه في تورطهم في الهجوم. البريد الإلكتروني العشوائي وهجمات تطبيقات الويب وهجمات القوة الغاشمة. أبلغ المتضررون عن الهجمات، وتم حجب العناوين وإدراجها في القائمة السوداء.
كيف تعامل فريق Semicolon مع Telegram؟
وقال فياض عطوي، مدير فريق Semicolon، إن الفريق اتصل رسميًا بـ Telegram وزوّدهم بثلاثة تقارير مفصلة تضمنت تحليلاً لحالات متعددة ومعلومات حول المهاجمين وأجهزتهم وعناوينهم الرقمية وأسباب الهجوم. معلومات حول الأسباب المحتملة لقضايا أمنية خطيرة. عيوب، نحن في انتظار حماية Telegram لمعالجة هذه التقارير. وحاول إنهاء الهجوم في أسرع وقت ممكن.
كيف نحمي حساباتنا من هذا الهجوم؟
يوصي فريق Semicolon جميع مستخدمي Telegram على جميع الأجهزة وأنظمة التشغيل بتنشيط التحقق بخطوتين المقدم من Telegram. أظهرت التجربة أنه على الرغم من نجاح المهاجمين في الحصول على رموز التحقق، إلا أنهم فشلوا في اختراق الحسابات التي تم تنشيط هذه الميزة بها.
لتفعيل الميزة، يجب عليك إدخال: (الإعدادات)، ثم (الخصوصية والأمان)، و (التحقق بخطوتين). ثم حدد كلمة مرور قوية تتكون من عدة أحرف وأرقام، وعنوان بريد إلكتروني في حالة نسيانها.