С помощью SS7-атак злоумышленники взломали Telegram-аккаунты жертв

Екатерина Быстрова 20 Октября 2020 - 10:25

...

С помощью SS7-атак злоумышленники взломали Telegram-аккаунты жертв

Киберпреступники, у которых был доступ к Системе Сигнализации №7 (SS7, набор сетевых протоколов) смогли получить доступ к Telegram-аккаунтам и электронным письмам важных людей из мира цифровой валюты. Напомним, что SS7 используется для работы сотовой связи по всему миру.

Эксперты считают, что это была хорошо организованная целевая атака, в ходе которой злоумышленники старались получить короткие коды, приходящие жертве на смартфон и используемые для двухфакторной аутентификации (2FA).

SS7 в этом случае помогала атакующим перехватывать текстовые сообщения и звонки с помощью хитрой тактики: местоположение мобильного устройства пользователя обновлялось с таким расчётом, чтобы система зарегистрировала его в другой сети (сценарий роуминга).

По данным специалистов, кибератака произошла в сентябре и поразила по меньшей мере 20 абонентов, которые были связаны работой над крупными проектами в сфере криптовалюты.

Эксперты Pandora Security, расследовавшие эту кибероперацию, помогли жертвам восстановить доступ к аккаунтам. Именно в Pandora Security впервые высказали предположение, что атака была завязана на SS7.

По словам исследователей, киберпреступники смогли подменить сервис коротких сообщений (SMSC), в результате чего все голосовые вызовы и СМС-сообщения, предназначавшиеся жертве, попадали в руки злоумышленников. Подробнее на инфографике:

«В некоторых случаях, получив доступ к учётным записям пользователей, преступники действовали от их лица в мессенджере Telegram», — поделился своими мыслями господин Ганот из Pandora Security.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Яков Шпунт 25 Ноября 2025 - 10:00

Фишинг Утечки информации Умышленные утечки информации Кража данных Домашние пользователи

Фишинговые сайты под Минобрнауки крали аккаунты учащихся на Госуслугах

Специалисты выявили сеть фишинговых ресурсов, в которую входили сайты, маскирующиеся под официальные страницы Минобрнауки и Госуслуг. Основной целевой аудиторией кампании были ученики. Злоумышленники распространяли ссылки разными каналами, используя доменные имена со словом minobrnauki. Все выявленные ресурсы уже направлены на блокировку.

Как сообщили в компании Angara MTDR, цель атак заключалась в сборе персональных данных и краже аккаунтов учащихся на Госуслугах.

Для доступа к поддельному сайту пользователю предлагалось пройти авторизацию, указав ФИО, номер телефона, ИНН, СНИЛС или паспортные данные. Форма входа полностью копировала интерфейс Личного кабинета учащегося.

После ввода данных происходило перенаправление на второй мошеннический сайт, имитирующий Портал Госуслуг. Там пользователю демонстрировалось «подозрительное» входное событие с нового устройства, и предлагалось «восстановить доступ» через телефонный звонок или телеграм-бота. На этом этапе и происходила кража учётных данных, включая второй фактор.

При этом, как подчеркнули в компании, мошенники автоматически перехватывали подтверждающие коды из СМС: система подставляла полученные цифры в нужное поле без участия пользователя. Это делает схему особенно опасной.

Angara MTDR направила все выявленные сайты на блокировку в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

В августе аналогичную фишинговую кампанию пресекла компания F6. Тогда злоумышленники нацеливались на пользователей сервиса «Электронный дневник».