محققان امنیت سایبری از کشف یک روش تازه برای سرقت حسابهای تلگرام خبر دادهاند که در آن مهاجمان بدون نیاز به رمز عبور یا حتی کد تأیید، میتوانند کنترل حساب کاربر را به دست بگیرند. البته این حمله تنها زمانی موفق خواهد بود که قربانی یک اسکریپت مخرب را روی کامپیوتر ویندوزی خود اجرا کند.
بر اساس گزارش منتشرشده از سوی شرکت امنیتی کسپرسکی، هکرها از یک اسکریپت PowerShell با نام فریبنده Windows Telemetry Update استفاده میکنند. این فایل در ظاهر یک بهروزرسانی عادی ویندوز به نظر میرسد، اما در واقع یک بدافزار سرقت اطلاعات است که دادههای Session فعال نسخه دسکتاپ تلگرام را سرقت میکند.
هایجک حساب تلگرام با اسکریپت مخرب ویندوز
هدف این حمله پوشه tdata در نسخه ویندوز تلگرام است که کلیدهای احراز هویت و اطلاعات نشست فعال در آن ذخیره میشود. اگر مهاجم به این اطلاعات دست پیدا کند، میتواند بدون وارد کردن رمز عبور یا دریافت کد تأیید، همان نشست فعال را روی سیستم دیگری بارگذاری کرده و به حساب تلگرام قربانی دسترسی پیدا کند.
پس از اجرای اسکریپت مخبر، بدافزار ابتدا اطلاعات پایه سیستم مانند نام کاربری، نام کامپیوتر و آدرس IP عمومی را جمعآوری میکند. سپس بررسی میکند که آیا Telegram Desktop روی سیستم نصب شده است یا خیر. در صورت نصب بودن، برنامه را به اجبار میبندد، تمام محتویات پوشه tdata را در قالب یک فایل ZIP فشرده کرده و از طریق یک ربات تلگرام برای مهاجمان ارسال میکند. در پایان نیز فایل موقت را حذف میکند تا ردپای خود را تا حد امکان از بین ببرد.
خبر خوب اینکه پژوهشگران معتقدند این روش هنوز به طور گسترده مورد استفاده قرار نگرفته است. بررسیها نشان میدهد اسکریپت کشفشده هنوز در مرحله آزمایشی قرار داشته و حتی ربات تلگرام مورد استفاده آن نیز نامی کاملاً ابتدایی و توصیفی داشته که نشان میدهد توسعهدهندگان هنوز آن را برای استفاده عمومی آماده نکرده بودند.
با این حال کارشناسان هشدار میدهند که ساخت چنین ابزاری نشان میدهد مهاجمان به دنبال سوءاستفاده از نشستهای فعال تلگرام هستند؛ روشی که میتواند بسیاری از سازوکارهای امنیتی مانند احراز هویت دومرحلهای یا ارسال کد پیامکی را دور بزند، زیرا مهاجم عملاً از همان نشست معتبر کاربر استفاده میکند.
مهمتر اینکه شاهد کشف نقص امنیتی بسیار جدی در تلگرام هستیم که سالها است سازنده آن ادعاهای بزرگی در زمینه امنیت دارد. با این حال هیچگونه بیانیه رسمی در کانالهای پاول دورف یا خود Telegram درباره این گزارش پیدا نکردیم.
در نهایت باید توجه داشت که این حمله، یک نقص امنیتی در سرورهای تلگرام محسوب نمیشود و برای موفقیت آن، کاربر باید ابتدا فایل مخرب را روی رایانه خود اجرا کند. بنابراین رعایت اصول اولیه امنیت دیجیتال همچنان مؤثرترین راه برای جلوگیری از سرقت حساب خواهد بود.
چگونه جلوی دسترسی غیرمجاز به تلگرام را بگیریم؟
پیشنهاد میشود بهطور منظم بخش Settings > Devices در تلگرام را بررسی کرده و در صورت مشاهده دستگاه ناشناس، گزینه Terminate all other sessions را اجرا کنید.
فعال بودن قابلیت Two-Step Verification یا همان تأیید دومرحلهای برای حساب تلگرام نیز بسیار مهم است و حتماً از آن استفاده کنید.
