Злоумышленники могут получить доступ к содержимому переписки в Telegram на iOS и Android. Для этого они используют СМС-коды, получаемые жертвами при входе в аккаунт с нового устройства.

Telegram сначала отправляет комбинацию через сервисный канал на все девайсы пользователя, а уже затем отправляет её через текстовое сообщение. Киберпреступники пользуются этим нюансом и сами инициируют запрос на отправку мессенджером СМС.

После они перехватывают сообщение, используют полученный код для авторизации и получают доступ ко всем текущим чатам (кроме секретных), а также к истории переписки в этих чатах, в том числе к файлам и фотографиям. Владелец аккаунта может обнаружить несанкционированный вход самостоятельно только в случае проверки активных сеансов в настройках конфиденциальности.

Об инцидентах стало известно в конце 2019 года, когда с подобной проблемой в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей. Во всех известных случаях злоумышленники заходили в чужой аккаунт через мобильный Интернет, а IP-адрес атакующих в большинстве случаев находился в Самаре.

Специалисты в данный момент выясняют, как именно киберпреступники обходили фактор СМС. В компании считают, что теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных техсредств или инсайда в операторах сотовой связи. Так, эксперты обнаружили недавние объявления с предложениями взлома различных мессенджеров (Telegram присутствует) на хакерских форумах в Даркнете.

Для защиты Group-IB рекомендует юзерам активировать двухфакторную верификацию и добавлять к СМС обязательный второй фактор.