По данным компании, во всех случаях единственным фактором авторизации в приложении были sms. Сначала в мессенджер приходило сообщение от канала Telegram с кодом подтверждения, который пользователи не запрашивали, а затем на телефон приходило sms с кодом активации. Почти сразу после этого приходило уведомление о входе с нового устройства.
"Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит sms-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером sms с кодом активации, перехватывают это sms и используют полученный код для успешной авторизации в мессенджере", — сообщили в компании.
Отмечается, что атака может быть успешна только в том случае, если в настройках Telegram не активированы опции "Облачный пароль" или Two step verification. Group-IB призывает пользователей установить дополнительный фактор авторизации в виде пароля.
"Рекомендую как можно скорее установить в Telegram дополнительный фактор авторизации в виде пароля, помимо обязательной sms, это важно сделать каждому. Далее необходимо проверить и другие приложения, а также сервисы, которые используют sms-сообщения для авторизации как основной или второй фактор или же для восстановления пароля к электронной почте, социальным сетям, доступу к приложениям мобильного банкинга, для доставки одноразовых паролей", — отметил заместитель руководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин.