Как защитить свой телеграмм аккаунт
Как надежно защитить свой аккаунт и переписки в Telegram — нашли два способа
Telegram не зря пользуется популярностью и любовью среди продвинутых пользователей — это действительно продуманный и функциональный мессенджер. Однако, помимо удобства, он предоставляет немало возможностей обезопасить свой аккаунт и переписки. Так как мессенджер хранит чаты (кроме секретных) в облаке и подгружает всю историю на каждое новое авторизованное устройство, есть вероятность, что злоумышленник войдет в Ваш аккаунт и сможет получить доступ ко всему архиву сообщений — а ведь среди них может быть личная и конфиденциальная информация. Однако есть два способа раз и навсегда защититься от проникновения третьих лиц в Вашу частную жизнь.
1 — Защищаем коды авторизации Telegram
По умолчанию все входящие сообщения отображаются на заблокированном экране смартфона в виде баннеров. Код авторизации Telegram, который приходит как обычное сообщение, тоже отобразится на экране — теоретически, в этот момент его можно подсмотреть. Чтобы исключить эту возможность, перейдите в Telegram → «Настройки» → «Уведомления и звуки». Здесь, в блоке «Уведомления о сообщениях» есть тумблер «Показывать текст». Теоретически, если его отключить, то текста входящих сообщений не будет видно — однако это затронет абсолютно все чаты. Вряд ли это удобно. Поэтому сделаем иначе — нажмите «Исключения» → «Добавить исключение» и добавьте туда отправителя Telegram. После добавления нажмите на него, и в блоке «Предпросмотр сообщений» выберите «Выключить».
Готово! Теперь сервисные сообщения от Telegram, в том числе коды авторизации, будут отображаться так, как на скриншоте — это защитит Ваш аккаунт от посторонних.
2 — Защищаем аккаунт Telegram
Мессенджер братьев Дуровых дает возможность защитить свой аккаунт двухэтапной аутентификацией. Проще говоря, при авторизации нужно не только ввести одноразовый код, но и пароль, который Вы однажды зададите.
Чтобы включить этот метод защиты, пройдите в Telegram → «Настройки» → «Конфиденциальность» → «Облачный пароль». Придумайте пароль для защиты аккаунта. Чтобы его было сложнее подобрать, он должен состоять минимум из шести знаков, среди которых должны быть заглавные и строчные буквы, цифры и знаки препинания.
Готово! Теперь без этого пароля авторизоваться в Вашем аккаунте будет невозможно.
Важно понимать, что пароль потребуется Вам довольно редко, поэтому его легко забыть. Возможно, Вы решите записать его в надежное место — например, в «Связку ключей iCloud».
Как злоумышленники могут читать вашу переписку в Telegram. И как им в этом помешать
В конце 2019 года в отдел расследований киберпреступлений Group-IB обратились несколько российских предпринимателей, которые столкнулись с проблемой несанкционированного доступа неизвестных к их переписке в мессенджере Telegram. Инциденты происходили на устройствах iOS и Android, независимо от того клиентом какого федерального оператора сотовой связи являлся пострадавший.
Атака начиналась с того, что в мессенджер Telegram пользователю приходило сообщение от сервисного канала Telegram (это официальный канал мессенджера с синей галочкой верификации) с кодом подтверждения, который пользователь не запрашивал. После этого на смартфон жертвы падало СМС с кодом активации — и практически сразу же в сервисный канал Telegram приходило уведомление о том, что в аккаунт был произведен вход с нового устройства.
Во всех случаях, о которых известно Group-IB, злоумышленники заходили в чужой аккаунт через мобильный интернет (вероятно, использовались одноразовые сим-карты), а IP-адрес атакующих в большинстве случаев находился в Самаре.
Доступ под заказ
Исследование Лаборатории компьютерной криминалистики Group-IB, куда были переданы электронные устройства пострадавших, показало, что техника не была заражена шпионской вредоносной программой или банковским трояном, учетные записи не взломаны, подмены SIM-карты произведено не было. Во всех случаях злоумышленники получали доступ к мессенджеру жертвы с помощью СМС-кодов, получаемых при входе в аккаунт с нового устройства.
Эта процедура выглядит следующим образом: при активации мессенджера на новом устройстве, Telegram отправляет код через сервисный канал на все устройства пользователя, а потом уже (по запросу) на телефон уходит СМС-сообщение. Зная об этом, злоумышленники сами инициируют запрос на отправку мессенджером СМС с кодом активации, перехватывают это СМС и используют полученный код для успешной авторизации в мессенджере.
Таким образом, атакующие получают нелегальный доступ ко всем текущим чатам, кроме секретных, а также к истории переписки в этих чатах, в том числе к файлам и фотографиям, которые в них пересылались. Обнаружив это, легальный пользователь Telegram может принудительно завершить сессию злоумышленника. Благодаря реализованному механизму защиты обратного произойти не может, злоумышленник не может завершить более старые сессии настоящего пользователя в течении 24 часов. Поэтому важно вовремя обнаружить постороннюю сессию и завершить её, чтобы не потерять доступ к аккаунту. Специалисты Group-IB направили уведомление команде Telegram о своем исследовании ситуации.
Изучение инцидентов продолжается, и на данный момент точно не установлено, какая именно схема использовалась для обхода фактора СМС. В разное время исследователи приводили примеры перехвата СМС с помощью атак на протоколы SS7 или Diameter, используемые в мобильных сетях. Теоретически подобные атаки могут быть реализованы с нелегальным использованием специальных технических средств или инсайда в операторах сотовой связи. В частности, на хакерских форумах в Даркнете свежие объявления с предложениями взлома различных мессенджеров, в том числе и Telegram.
«Специалисты в разных странах, в том числе и в России, неоднократно заявляли о том, что социальные сети, мобильный банкинг и мессенджеры можно взломать с помощью уязвимости в протоколе SS7, однако это были единичные случаи целенаправленных атак или экспериментальных исследований, — комментирует Сергей Лупанин, руководитель отдела расследований киберпреступлений Group-IB, — В серии новых инцидентов, которых уже более 10, очевидно желание атакующих поставить этот способ заработка на поток. Для того, чтобы этого не произошло, необходимо повышать собственный уровень цифровой гигиены: как минимум использовать двухфакторную аутентификацию везде, где возможно, и добавлять к СМС обязательный второй фактор, что функционально заложено в том же Telegram».
Как защититься?
1. В Telegram уже реализованы все необходимые опции кибербезопасности, которые сведут усилия атакующих на нет.
2. На устройствах iOS и Android для Telegram необходимо перейти в настройки Telegram, выбрать вкладку «Конфиденциальность» и назначить «Облачный пароль\Двухшаговую проверку» или «Two step verification». Детальное описание по включению этой опции дано в инструкции на официальном сайте мессенджера: telegram.org/blog/sessions-and-2-step-verification (https://telegram.org/blog/sessions-and-2-step-verification)
3. Важно не устанавливать адрес электронной почты для восстановления этого пароля, поскольку, как правило, восстановление пароля к электронной почте тоже происходит через СМС. Аналогичным образом можно повысить защиту аккаунта в WhatsApp.
Как защитить свой аккаунт в Telegram от удаления злоумышленниками
Чтобы объяснить способы защиты, мне необходимо рассказать как удаляют каналы, точнее расскажу один из вариантов атаки. Сразу хочу отметить, что цель данной статьи заключается в информировании пользователей Telegram, а не в популяризации соответствующих услуг. Я категорически против таких способов и, надеюсь, что команда мессенджера обратит внимание на указанные недостатки и устранит их.
Как правило, удаление «заказывают» конкуренты, недоброжелатели, но есть случаи когда целью становятся «активы» админов, причинивших своими публикациями кому-либо моральный или финансовый ущерб, то есть, заказывают из мести. Исполнители таких заказов разного уровня подготовки, кто-то ограничивается банальной накруткой жалоб, а кто-то использует более сложные и изощренные схемы. Вот про одну такую схему, записанную со слов источника, пожелавшего остаться анонимным, я и расскажу.
Если выбран удачный момент (ночное время, много дел), то «жертва» может не замечать атаку очень долго. Кроме того, у многих пользователей в ленте царит настоящий хаос — куча каналов, чатов, непрочитанных сообщений. Это все играет на руку недоброжелателям.
И вот настает печалька — аккаунт «жертвы» удаляется. Восстановить его становится практически невозможным. Любые объяснения, скорее всего, будут игнорироваться поддержкой Telegram, так как со стороны вся схема выглядит крайне правдоподобной, а именно: пользователь купил канал с названием из черного списка, накрутил ботов, чтобы выйти в топ, опубликовал рекламный пост, нарушающий политику мессенджера, стал рекламировал его, чем вызвал у пользователей праведный гнев и они стали жаловаться.
4 способа надежно защитить свой Telegram от взлома
Вчера Павел Дуров объявил о неуспешной попытке взлома Telegram-аккаунтов журналистов. Это далеко не первый случай, когда злоумышленники пытались получить доступ к закрытым перепискам.
Расскажем, как защитить свой профиль от взлома.
Как себя обезопасить
С помощью того же фишинга злоумышленник, например, может обманом заставить вас ввести данные от учетной записи, создав поддельный сайт Telegram. Чтобы не потерять доступ к своей учетке, нужно:
1. Включить двухфакторную аутентификацию.
Это позволит входить в аккаунт через подтверждение кода в SMS.
2. Защитить приложение паролем.
Чтобы никто не смог получить доступ к перепискам, кроме вас.
3. Отследить, с какого устройства вошли в ваш Telegram.
Здесь можно удаленно отключить определенные сеансы свайпом влево по девайсу. Или завершить все сеансы, кроме текущего.
4. Настроить автоудаление данных.
Настраиваем 1, 3, 6 или 12 месяцев. Потом вся информация сотрется и никто не сможет получить доступ к вашим перепискам.
Как защитить Telegram от взлома: главные и простые правила
Современное программное обеспечение и онлайн-сервисы имеют достаточную степень защиты, которая обеспечивает неприкосновенность персональных данных. Иногда случаются утечки, однако обычно они прямо или косвенно связаны с наличием в цепочке «человеческого фактора». Сегодня напомним о некоторых базовых правилах обеспечения безопасности в мессенджере Telegram.
1. Включите двухфакторную авторизацию (иначе — двухэтапная аутентификация)
Если вы не впитали с молоком матери правило активировать двухфакторную авторизацию в абсолютно любом приложении или сервисе, нужно сделать это прямо сейчас. У вас не должно быть иллюзий о том, что раз ваш телефон у вас в кармане и в Telegram стоит сложный пароль уровня 1q2w3e4r5t6y, вас не взломают. Сегодня важнее не пароль, который можно потерять или засветить, а дополнительные инструменты.
Telegram сделал все, чтобы настроить безопасность в один присест: не нужно лазить по меню, достаточно войти в настройки и перейти в «Конфиденциальность».
Здесь вы активируете двухэтапную аутентификацию, задаете пароль и почту для его получения. Желательно выбрать новый и неизвестный ранее пароль: мошенники знают, что обычно люди используют одно кодовое слово для всего.
Отметим, что на Android двухфакторная аутентификация в настройках именно так и называется. А на iOS в русскоязычной версии приложения Telegram «двухфакторка» указана как «облачный пароль».
2. Проверяйте «Активные сеансы»: в них перечислены все устройства, с которых вы входили в учетную запись Telegram. Это могут быть компьютеры и смартфоны ваших друзей, рабочие компьютеры, где вы, например, воспользовались веб-версией Telegram, ваши старые телефоны и так далее. Здесь можно завершить все остальные сессии, оставив авторизованной лишь на том устройстве, с которого вы проводите настройки мессенджера.
3. Пройдитесь по всем пунктам в закладке «Конфиденциальность»: здесь есть подробное описание каждой функции. В частности, есть запрет на просмотр вашего номер телефона (найти вас можно будет только по никнейму, если это, опять же, разрешено в настройках). В настройках можно посмотреть, кто уже видит ваш номер.
4. Запретите включения вас в группы, каналы — такие действия не стоит разрешать для всех, в лучшем случае — для ваших контактов. Можно отключить данные функции вовсе и лишь при необходимости активировать — доверенное лицо добавило вас в чат, например, после чего вы снова активируете запрет на такие действия. Да, это требует лишних телодвижений и времени, но потеря аккаунта — хуже. Запретите звонки тем, кто не включен в список контактов.
5. Важный пункт — «Пересылка сообщений». В нем стоит полностью отключить ссылку на вашу учетную запись, а ваши контакты и так вас знают. Тогда, если кто-то процитирует ваше сообщение или перешлет его в сторонний чат, группу и так далее, никто не сможет перейти в ваш профиль по ссылке, «привязанной» к имени (никнейму).
6. Скройте фотографию профиля вашей учетной записи либо для всех, либо (и это обязательный минимум) для тех, кто не внесен в список ваших контактов.
7. Проверьте «синхронизацию контактов» — она обеспечивает хранение данных в облаке и синхронизацию списков контактов с адресной книгой телефона. Если функция активна, все, кто записан в вашей телефонной книге (не Telegram, а именно мобильника), смогут связаться с вами через мессенджер (как и вы с ними). Иногда данную функцию рекомендуют отключить, так как обычно в телефонной книге есть немало малознакомых людей, в том числе случайных.
Наш канал в Telegram. Присоединяйтесь!
Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро