История о человеческой (моей) глупости
Итак, присаживайтесь поудобнее, сейчас я вам расскажу как у меня угнали телегу ака Telegram.
Итак, рассмотрим поциента, то есть меня. Лизанька, почти сорок лет, детей нет, мозгов нет, собирает куколок.. ахем, простите. Двадцать лет в айти, курсы безопасности майкрософта (они, конечно, больше про то как сделать так, чтобы сотрудники не воровали данные, но тем не менее) и вроде как не наблюдается старческой деменции, как такое взламывать? Ответ прост, так же как и 90%+ остальных, т.е. социальный инжиниринг. Суровая правда жизни заключается в том, что хитрозадые хакеры, которые ломают всё именно айти скиллами это зверь редкий, там требуется быть реально упоротым нердом с пониманием как именно что работает (таких людей в айти менее 5%, остальные ходят в красных робах, жмут руны активации и читают литании), чтобы пытаться это обойти, потому что, как я люблю говорить, "хакер Вася кидает свой хакинг вовсе не прямым оппозитом против сисадмина Пети, он кидает экстендед ролл против команды разработчика ОС / железяки, а сисадмин Петя разве что может облегчить ему работу не поставив какой патч или намеренно убрав какую-то дефолтную защиту" (например, параноя ОС Windows в своё врем была настолько велика, что она Microsoft.com считала ненадёжным ресурсом).
Пару дней назад бывший коллега создаёт группу, в которую кидает мессагу класса "проголосуйте за меня плз всем спасибо", и ссылочка. Ссылка внешне приличная, не абракадабра, название голосовалки тоже околоайтишное, а не "лучший пёсель района". Захожу туда, там собственно голосовалка с выбором, в списке есть оный коллега, с фоточкой и ирловым именем. Ну, думаю я, наверное он новый проект какой-то раскручивает, чего бы и не помочь человеку, тыкаю проголосовать, мне сообщают, что для защиты от накруток надо авторизоваться через ТГ, на что я соглашаюсь, благо подобный функционал есть и у всяких пейсбуков и вконтактов. Как говорится, большой молодец, всё собственными руками, "ваши данные у злоумышленников", ибо оные "злоумышленники" не поленились запилить примитивный сайт. Нехорошие люди получают мой "токен" и используют его для логина.
Звоночком номер один, анализируя задним числом, был минималистичнный дизайн этого сайта, то есть кроме голосовалки было ничего, ни подробной инфы про кандидатов, ни условного legal, ни прочего такого.
Звоночком номер два было что коллега на следующий день выдал какой-то сторис, в котором что-то вещал за безопасность телеги, но мне с выключенным звуком было не слышно что именно, и мой гениальный (нет) мозг не увязал это прямо с прошлой рассылкой, логика была уровня "ну в случае скама он же может в ту же группу отписать". Думается мне, его тележеньку тоже угнали, достали из неё фоточку и закинули на сайтик, после чего рассылка по контактам и ловля лохов таких как я, и его сторис был про это.
Сегодня утро, звонок от другого коллеги, с простым вопросом "У тебя телегу угнали?". "Вроде нет" отвечаю я, и коллега бросает трубку. Как вы помните, телегу прекрасно угнали, просто мою сессию погасили, так что вся активность проходит мимо меня, я лезу проверять. За это время коллега успел вбросить в какой-то левый счёт (не мой, как мне деньги кидать он знает) бабла, так что мой звонок ему с сообщением "всё-таки угнали" запоздал. Какая цыганская магия была при этом применена, что очередной айтишник с 20+ лет стажа верификацию на вброс бабла ограничил строго вопросом "не угнали ли у тебя тг" без любых дополнительных вопросов или в текстовый чат или мне голосом при звонке я лично не знаю, но иначе как магией это назвать сложно. Нет, конечно слегка греет душу, что люди на работе готовы по моей просьбе кидаться деньгами, но то что они так спешат это делать что не могут потратить 15 секунд на уточняющие вопросы типа "а это правда ты денег просишь" печалит гораздо больше, в сумме настроение в минус.
Дальше начинается моя борьба за восстановление ТГ, в результате которой я выясняю, что:
* Пидорнуть сессию в ТГ можно только после того, как твоя сессия прожила 24 часа. Собственно, задача условных "злоумышленников" при получении доступа 24 часа не палиться (можно делать ничего, можно читать старые сообщения для иммитации стиля общения или фишинга каких данных), после чего сессия получает "модераторские" права, что они прекрасно и сделали.
* После того как "хакнутая" сессия прожила 24 часа и получила права она выпидоривает все остальные сессии, всё, поздравляю, вы прошли точку невозврата, даже в ручном режиме захватчик может раз в сутки проверять сессии и выкидывать "лишние" (то есть владельца), но, как говорят интернеты, есть ещё и боты, которые могут это делать в автоматическом режиме. Т.е. владелец выпидорить левую сессию сможет только когда ему любезно разрешат или на него забьют.
* Наличие у меня доступа к телефону, на который зареган ТГ или к привязанной почте ничего не даёт, кроме возможности залогиниться до следующего кика. Ибо "модераторские" права даются строго по 24 часам лайфтайма сессии.
* Включать двухфакторку так же не помогает - сессия "хакера" уже здесь, и это её никак не ограничивает.
* Формально может помочь техпод, только вот общение с техподом идёт через сам ТГ. Попытка общения с оным техподом закончилась тем, что оный техпод вообще не прочёл моё сообщение (видимо, оно было в очереди), после чего пришёл вторженец, посмотрел на это дело, удалил сообщение запроса в техпод и заархивировал этот чат. Писать в техпод пока время реакции оного техпода окажется быстрее, чем время реакции хайджекера.. ну такое, с учётом того сколько мне пришлось ждать оного техпода.
* И, как вы понимаете, никакие защиты от "подозрительной активности" не сработали. Судя по всему, резкая смена айпишника, и тексты с запросами бабла совсем не подозрительны, единственная "защита" наличествующая по факту это когда много пользователей жмёт кнопку "это спам". В нашем случае она не сработала, так как вторженцы явно знали "правила игры" и массовых рассылок не делали.
* В итоге всё свелось к выбору из двух стульев, где первый это ждать, пока на мою учётку забьют и я смогу забрать её обратно, и второй это удалить учётку (невиданная "админская" привелегия которую таки даёт обладание телефоном, на который рега).
Мною было выбрано второе, так как не хотелось чтобы кто-то ещё пошёл слать деньги непойми куда с искренним желанием мне помочь.
Резюмируя. Не отрицаю своей вины, что жму куда попало как пенсионерка с компуктером. Но секурити телеги это ёбанный пиздец, как будто эти правила сделаны не для того, чтобы помочь защитить аккаунт, а для того, чтобы бить по голове тех, кто проебался. Никаких методов восстановления нет, расширенные права даются без всяких верификаций чисто за 24 часа неактивности. Секьюрити совет "раз в сутки проверяйте активные сессии" это, конечно, пиздец, как и то, что единствнная рекавери опция это удалиться и зарегаться по номеру телефона заново.
К счастью, телега у меня не была основным мессенджером, там были высокоинтеллектуальные подписки уровня "канал с котами" для бездумного скроллинга, три с половиной молча читаемых человека, ну и плюс некоторые коллеги на случай когда до рабочего чата впадлу ползти. Так что мои потери минимальны.
Единственный вопрос, который остался, это надо ли мне такое дерьмо восстанавливать, ибо с одной стороны вряд ли я дважды на эти грабли наступлю, а с другой сделано предельно плохо, борцун и оппозиционер Дуров озаботился борьбой с РКН, зато от скаммеров защита околонулевая, всё в руках пользователя.
PS: А ещё мне при логине часть системных сообщений ТГ приходила на языке интерфейса операционной системы угонщика. Угадайте с трёх раз на каком.
Итак, рассмотрим поциента, то есть меня. Лизанька, почти сорок лет, детей нет, мозгов нет, собирает куколок.. ахем, простите. Двадцать лет в айти, курсы безопасности майкрософта (они, конечно, больше про то как сделать так, чтобы сотрудники не воровали данные, но тем не менее) и вроде как не наблюдается старческой деменции, как такое взламывать? Ответ прост, так же как и 90%+ остальных, т.е. социальный инжиниринг. Суровая правда жизни заключается в том, что хитрозадые хакеры, которые ломают всё именно айти скиллами это зверь редкий, там требуется быть реально упоротым нердом с пониманием как именно что работает (таких людей в айти менее 5%, остальные ходят в красных робах, жмут руны активации и читают литании), чтобы пытаться это обойти, потому что, как я люблю говорить, "хакер Вася кидает свой хакинг вовсе не прямым оппозитом против сисадмина Пети, он кидает экстендед ролл против команды разработчика ОС / железяки, а сисадмин Петя разве что может облегчить ему работу не поставив какой патч или намеренно убрав какую-то дефолтную защиту" (например, параноя ОС Windows в своё врем была настолько велика, что она Microsoft.com считала ненадёжным ресурсом).
Пару дней назад бывший коллега создаёт группу, в которую кидает мессагу класса "проголосуйте за меня плз всем спасибо", и ссылочка. Ссылка внешне приличная, не абракадабра, название голосовалки тоже околоайтишное, а не "лучший пёсель района". Захожу туда, там собственно голосовалка с выбором, в списке есть оный коллега, с фоточкой и ирловым именем. Ну, думаю я, наверное он новый проект какой-то раскручивает, чего бы и не помочь человеку, тыкаю проголосовать, мне сообщают, что для защиты от накруток надо авторизоваться через ТГ, на что я соглашаюсь, благо подобный функционал есть и у всяких пейсбуков и вконтактов. Как говорится, большой молодец, всё собственными руками, "ваши данные у злоумышленников", ибо оные "злоумышленники" не поленились запилить примитивный сайт. Нехорошие люди получают мой "токен" и используют его для логина.
Звоночком номер один, анализируя задним числом, был минималистичнный дизайн этого сайта, то есть кроме голосовалки было ничего, ни подробной инфы про кандидатов, ни условного legal, ни прочего такого.
Звоночком номер два было что коллега на следующий день выдал какой-то сторис, в котором что-то вещал за безопасность телеги, но мне с выключенным звуком было не слышно что именно, и мой гениальный (нет) мозг не увязал это прямо с прошлой рассылкой, логика была уровня "ну в случае скама он же может в ту же группу отписать". Думается мне, его тележеньку тоже угнали, достали из неё фоточку и закинули на сайтик, после чего рассылка по контактам и ловля лохов таких как я, и его сторис был про это.
Сегодня утро, звонок от другого коллеги, с простым вопросом "У тебя телегу угнали?". "Вроде нет" отвечаю я, и коллега бросает трубку. Как вы помните, телегу прекрасно угнали, просто мою сессию погасили, так что вся активность проходит мимо меня, я лезу проверять. За это время коллега успел вбросить в какой-то левый счёт (не мой, как мне деньги кидать он знает) бабла, так что мой звонок ему с сообщением "всё-таки угнали" запоздал. Какая цыганская магия была при этом применена, что очередной айтишник с 20+ лет стажа верификацию на вброс бабла ограничил строго вопросом "не угнали ли у тебя тг" без любых дополнительных вопросов или в текстовый чат или мне голосом при звонке я лично не знаю, но иначе как магией это назвать сложно. Нет, конечно слегка греет душу, что люди на работе готовы по моей просьбе кидаться деньгами, но то что они так спешат это делать что не могут потратить 15 секунд на уточняющие вопросы типа "а это правда ты денег просишь" печалит гораздо больше, в сумме настроение в минус.
Дальше начинается моя борьба за восстановление ТГ, в результате которой я выясняю, что:
* Пидорнуть сессию в ТГ можно только после того, как твоя сессия прожила 24 часа. Собственно, задача условных "злоумышленников" при получении доступа 24 часа не палиться (можно делать ничего, можно читать старые сообщения для иммитации стиля общения или фишинга каких данных), после чего сессия получает "модераторские" права, что они прекрасно и сделали.
* После того как "хакнутая" сессия прожила 24 часа и получила права она выпидоривает все остальные сессии, всё, поздравляю, вы прошли точку невозврата, даже в ручном режиме захватчик может раз в сутки проверять сессии и выкидывать "лишние" (то есть владельца), но, как говорят интернеты, есть ещё и боты, которые могут это делать в автоматическом режиме. Т.е. владелец выпидорить левую сессию сможет только когда ему любезно разрешат или на него забьют.
* Наличие у меня доступа к телефону, на который зареган ТГ или к привязанной почте ничего не даёт, кроме возможности залогиниться до следующего кика. Ибо "модераторские" права даются строго по 24 часам лайфтайма сессии.
* Включать двухфакторку так же не помогает - сессия "хакера" уже здесь, и это её никак не ограничивает.
* Формально может помочь техпод, только вот общение с техподом идёт через сам ТГ. Попытка общения с оным техподом закончилась тем, что оный техпод вообще не прочёл моё сообщение (видимо, оно было в очереди), после чего пришёл вторженец, посмотрел на это дело, удалил сообщение запроса в техпод и заархивировал этот чат. Писать в техпод пока время реакции оного техпода окажется быстрее, чем время реакции хайджекера.. ну такое, с учётом того сколько мне пришлось ждать оного техпода.
* И, как вы понимаете, никакие защиты от "подозрительной активности" не сработали. Судя по всему, резкая смена айпишника, и тексты с запросами бабла совсем не подозрительны, единственная "защита" наличествующая по факту это когда много пользователей жмёт кнопку "это спам". В нашем случае она не сработала, так как вторженцы явно знали "правила игры" и массовых рассылок не делали.
* В итоге всё свелось к выбору из двух стульев, где первый это ждать, пока на мою учётку забьют и я смогу забрать её обратно, и второй это удалить учётку (невиданная "админская" привелегия которую таки даёт обладание телефоном, на который рега).
Мною было выбрано второе, так как не хотелось чтобы кто-то ещё пошёл слать деньги непойми куда с искренним желанием мне помочь.
Резюмируя. Не отрицаю своей вины, что жму куда попало как пенсионерка с компуктером. Но секурити телеги это ёбанный пиздец, как будто эти правила сделаны не для того, чтобы помочь защитить аккаунт, а для того, чтобы бить по голове тех, кто проебался. Никаких методов восстановления нет, расширенные права даются без всяких верификаций чисто за 24 часа неактивности. Секьюрити совет "раз в сутки проверяйте активные сессии" это, конечно, пиздец, как и то, что единствнная рекавери опция это удалиться и зарегаться по номеру телефона заново.
К счастью, телега у меня не была основным мессенджером, там были высокоинтеллектуальные подписки уровня "канал с котами" для бездумного скроллинга, три с половиной молча читаемых человека, ну и плюс некоторые коллеги на случай когда до рабочего чата впадлу ползти. Так что мои потери минимальны.
Единственный вопрос, который остался, это надо ли мне такое дерьмо восстанавливать, ибо с одной стороны вряд ли я дважды на эти грабли наступлю, а с другой сделано предельно плохо, борцун и оппозиционер Дуров озаботился борьбой с РКН, зато от скаммеров защита околонулевая, всё в руках пользователя.
PS: А ещё мне при логине часть системных сообщений ТГ приходила на языке интерфейса операционной системы угонщика. Угадайте с трёх раз на каком.