近日，俄罗斯本土网络安全公司Group-IB发布了一篇关于Telegram账号被人登陆的分析报告，其中提及了一些攻击手段，下面跟着黑鸟看一二。

2019年底，几名俄罗斯企业家求助于IB集团网络犯罪调查部门，称他们面临着未知人士未经授权访问其Telegram Messenger通讯的问题。无论受害者是哪个俄罗斯的移动运营商的用户，未授权访问事件都在iOS和Android设备上发生过。

当从Telegram服务通道（这是带有蓝色验证复选标记的正式Messenger通道）向用户发送了一条消息，并带有用户未请求的确认码时，攻击就开始了。此后，一条带有激活码的SMS出现了受害者的智能手机上，使用过的小伙伴都知道，几乎立即有一条通知到Telegram服务频道，通知该帐户是从新设备登录的。(黑鸟是合法公民，没用过。)

攻击者通过移动互联网（他们可能使用了一次性SIM卡）登录了另一个人的帐户，并且在大部分的攻击者的IP地址位于萨马拉。

经分析发现，受害人的电子设备未受到间谍软件或银行木马的感染，账户未被黑客入侵，并且没有更换SIM卡。

在所有情况下，攻击者都可以使用从新设备进入帐户时收到的SMS代码访问受害者的信使。

此过程如下：当在新设备上激活Messenger时，

Telegram通过服务通道将代码发送到所有用户设备，然后（应要求）将SMS消息发送到手机。

知道了这一点后，攻击者自己就发起了一个请求，要求Messenger发送带有激活码的SMS，拦截该SMS并将接收到的代码用于Messenger中的身份验证，输入代码从此绑定到了新的设备。

因此，攻击者可以非法访问除秘密聊天之外的所有当前聊天，以及这些聊天中的通讯记录，包括发送给他们的文件和照片。发现此登陆消息后，TG用户可以强制终止攻击者会话。

由于实施了保护机制，因此攻击者无法在24小时内获取到真实用户的以前的会话记录。因此，及时检测并删除一个登陆会话是非常必要的事情。

但一般来说，登陆TG是某些时候，下一次登陆后估计可能被搞完了，因此及时删除旧会话记录是件必须要做的事。

目前尚未知晓使用了那种劫持SMS短信的手法，目前研究人员给出了通过对移动网络中使用的SS7或Diameter协议进行攻击来拦截SMS的示例。从理论上讲，可以通过在移动运营商中非法使用特殊技术手段或内部人员来实施此类攻击。特别是在an网的黑客论坛上，有新的公告，其中提供了入侵各种即时通讯程序的提议，包括Telegram。

为了不背传授攻击方法的锅，下面给出搜索条件，自行观看，

下面两图便是俄罗斯的某an网站，意思大概是开价大概1万美元一个WhatsAPP或Viber或Telegram账号的访问权限？

而以上案例，如果在tg上设置了云密码或者两步验证，攻击便不会成功，因此请自行排查设置。

上期阅读

▲朝鲜网军与僵尸网络合作，出人意料的资源租用

▲一个4亿用户的网络安全公司，边收边卖用户数据

▲网络战之打飞机：无人机渗透测试框架dronesploit面世

因为威胁信息管理法即将颁布，因此我将知识星球预览关了，有需要的赶紧扫码进入，公开与私密情报均列位其中，信息严禁传播，避免二次伤害。

点个赞，转个发，祖国建设靠大家