Varni Telegram sploh ni varen
Nacionalni odzivni center za kibernetsko varnost SI-CERT od sredine lanskega leta opaža primere kreiranja uporabniških računov s slovenskimi telefonskimi številkami na platformi Telegram, pri čemer računov niso ustvarili uporabniki teh številk. Podobno prevzemajo obstoječe račune, ki niso zaščiteni z dodatnim geslom. Pri SI-CERT ne vedo, na kakšen način se te zlorabe dogajajo, vedo pa, da se na to težavo uporabniki ne morejo odzvati. Računi so najverjetneje ustvarjeni z namenom poznejše preprodaje in se ne uporabljajo za povzročanje neposredne škode uporabnikom telefonskih številk.
Račun na platformi Telegram je vezan na telefonsko številko.
Prestrezanje sporočil
Telegram je ena bolj razširjenih aplikacij za hipno sporočanje, kot so Viber, Whatsapp in (Facebook) Messenger; menda se bliža milijardi mesečnih aktivnih uporabnikov. Med njimi vlada prepričanje, da je Telegram šifrirana platforma, kar v resnici ne drži. Po načinu delovanja gre za kombinacijo družbenega omrežja in programa za sporočanje, pri čemer ne novice s kanalov ne skupinski pogovori niso šifrirani, prav tako niso privzeto šifrirani pogovori med dvema osebama: način secret chat je treba ročno vklopiti (kar je po nepotrebnem komplicirano), pa tudi o kakovosti samega šifriranja se krešejo mnenja.
Račun na platformi Telegram je vezan na telefonsko številko. Postopek registracije poteka tako, da uporabnik v aplikaciji vnese svojo telefonsko številko, Telegram pa v naslednjem koraku na to številko pošlje SMS-sporočilo z enkratno kodo, s katero uporabnik verificira svojo številko. Če sporočilo ni bilo dostavljeno, lahko uporabnik zahteva verifikacijsko kodo prek telefonskega klica. Računa ni mogoče registrirati brez te enkratne kode.
Pri SI-CERT ugotavljajo, da na prenosni poti med zalednim sistemom Telegrama in telefonom uporabnika prihaja do prestrezanja vsebine SMS-sporočil in telefonskih klicev ali da imajo storilci neposredni dostop do zalednega sistema Telegrama.
Uporabniki niso krivi
Med preiskavo različnih primerov so na SI-CERT ugotovili, da do prestrezanja ne prihaja na telefonih uporabnikov in da v večini primerov v času registracije do omrežja slovenskega operaterja ni prišlo nobeno sporočilo ali klic za izkoriščeno telefonsko številko. Ti podatki kažejo, da komunikacijo najverjetneje prestrezajo v zalednem sistemu Telegrama ali pri enem od ponudnikov storitev, ki jih aplikacija uporablja za pošiljanje SMS-sporočil oz. izvajanje telefonskih klicev. SI-CERT od Telegrama kljub večkratnim poskusom vzpostavitve stika ni prejel nobenega odgovora.
Napadalci na prevzetih Telegramovih računih vedno izberejo dodatno geslo 2FA (za dvostopenjsko verifikacijo), prav tako nastavijo nekaj podatkov v profilu, npr. ime, uporabniško ime, kratek opis ter profilno fotografijo. Ti podatki so videti izbrani povsem naključno in ne vsebujejo osebnih podatkov dejanskih uporabnikov telefonskih številk. V večini primerov ti računi nato ostanejo neaktivni vsaj mesec dni, v nekaterih primerih pa so kmalu izbrisani, včasih že v manj kot enem dnevu.
V primerih, ko je bil prevzet že obstoječi račun, napadalci poleg že navedenih aktivnosti izbrišejo vse obstoječe stike in pogovore. V nobenem obravnavnem primeru še niso zasledili poskus komunikacije z zlorabljenega računa s kakim od stikov uporabnika.
Kako ukrepati?
Če imate račun na Telegramu, ga zaščitite z geslom in vklopite dvostopenjsko verifikacijo. Lahko se sicer zgodi, da napadalci sprožijo postopek ponastavitve računa, o čemer vas aplikacija obvesti s sistemskim obvestilom, vi pa imate sedem dni časa, da postopek ponastavitve prekinete; navodila so v obvestilu. Če postopek registracije računa sprožite kmalu zatem, ko ga je registriral nekdo drug, se lahko zgodi, da ne boste prejeli SMS ali klica s kodo ali se vam bo izpisalo, da je bilo preveč poskusov. V tem primeru počakajte nekaj ur in spet poskusite. Če nimate Telegrama, lahko kreiranje računa s strani neznanih oseb preprečite le tako, da sami odprete račun s svojo telefonsko številko in ga zaščitite z geslom.
Če imate račun na Telegramu, ga zaščitite z geslom in vklopite dvostopenjsko verifikacijo.
Če so vam že prevzeli račun ali ste ugotovili, da je bil ustvarjen z vašo telefonsko številko, lahko zlorabo prijavite na abuse@telegram.org ali z obrazcem na Telegramovi spletni strani; SI-CERT pri tem opozarja, da od Telegrama ne bo nobenega odziva. Sporni račun lahko poskusite prevzeti tudi tako, da prek aplikacije opravite postopek registracije s svojo telefonsko številko in izberete možnost ponastavitve računa; a lahko se izpiše, da je telefonska številka blokirana.
Ne gre za težavo, na katero bi uporabniki lahko vplivali.
Prav tako bodite pozorni pri komunikaciji s kakšnim od svojih kontaktov na Telegramu, saj obstaja možnost, da njegov račun upravlja tretja oseba. V primeru neobičajne komunikacije preverite kontakt prek neodvisnega kanala (s telefonskim klicem ali e-pošto). V primeru vzpostavitve komunikacije s strani računa, ki je v upravljanju tretje osebe, to sporočite na cert@cert.si, še pravijo na nacionalnem odzivnem centru za kibernetsko varnost.
