Twitter が仮想通貨コミュニティで最も一般的に使用されているソーシャル プラットフォームである場合、Telegram は最も一般的に使用されている通信ソフトウェアです。しかし、Telegram では Telegram 認証ログイン機能を介して大量のソーシャル詐欺が発生しており、重大な資産損失も発生しています。この脆弱性は仮想通貨業界の多くの著名人を犠牲にしており、Telegram は最近になってようやくこの脆弱性を防ぐ修復機能を備えました。

テレグラムのセキュリティ脆弱性！仮想通貨大手が次々と犠牲に

Telegram には確認コードを送信するログイン方法があり、多くの悪意のある攻撃者がこの方法を使用してアカウントを盗みます。

Telegramは携帯電話番号でログインできるため、ユーザーの携帯電話番号を使用していれば、携帯電話やログイン中の端末に「ログイン確認コード」を送信することができます。 Telegram ユーザーの携帯電話番号はシステムのデフォルトで表示されるため、プライバシー設定を意図的に調整しない場合、他のユーザーの携帯電話番号は「連絡先」、さらには「全員」に公開されてしまいます。

悪意のある攻撃者の犯罪手口は次のとおりです。

• 悪意のある攻撃者は、暗号化王の Telegram アカウントにメッセージを送信し、暗号化王の連絡先に「暗号化王が 2 人重複している」ことを示し、身元確認を支援するために携帯電話の画面のスクリーンショットを撮るよう暗号化王に要求します。

• 暗号化の達人がスクリーンショットを撮ると、悪意のある攻撃者は携帯電話番号を介してログインしようとします。このとき、Telegram のログイン確認コードも公式アカウントを介して暗号化の達人の会話ラインにプッシュされます。

• 会話のプレビュー部分を通じて、5 桁のログイン確認コードも漏洩します。以下に示すように、

• 暗号通貨王が 2 段階認証を設定しない限り、悪意のある攻撃者は暗号通貨王がログインしているすべてのデバイスからログアウトすることでアカウントを乗っ取ることができます。

電報脆弱性連鎖効果、TONウォレット資産損失

仮想通貨王が被害を受けると、悪意のある攻撃者が仮想通貨王になりすまして他の友人にこの方法を繰り返してアカウント詐欺を行うことが容易になり、データを盗んで新しいアカウントを取得する連鎖効果が生まれます。

恐ろしいのは、Telegram は暗号通貨プロジェクト Toncoin (TON) をサポートしており、ウォレット アプリケーションが組み込まれているため、暗号通貨王がアカウントを失ったとき、ウォレットの権限も失ったことです。

Telegram がついにその穴を修正し、ログイン確認コードが見えなくなった

おそらく同様の詐欺が多すぎるためか、謎の Telegram 運営チームは最終的にメッセージ端末上で「目に見えない」ログイン確認コードをプレビューしました (ただし、実際のテストでは、モバイル バージョンのみが見えなくなり、コンピューター バージョンはそうではありません)。

結果として、上記の方法が確立される可能性はさらに低くなります。ただし、重要なことは、ユーザーは設定インターフェイスに移動して、被害を避けるためにさらに保護機能を設定する必要があるということです。

この記事は通貨ボスにとっては悪夢です! Telegram の一般的な詐欺の脆弱性により、ログイン認証コードがついに見えなくなりました。Lian News ABMedia に初めて掲載されました。