Koszmar dla szefów walut! Powszechna luka w zabezpieczeniach Telegrama umożliwiająca oszustwa w końcu ukrywa kod weryfikacyjny logowania

Jeśli Twitter jest najczęściej używaną platformą społecznościową dla społeczności kryptowalut, to Telegram jest najczęściej używanym oprogramowaniem komunikacyjnym. Jednak Telegram ma dużą liczbę oszustw społecznościowych, które zostały skradzione za pomocą funkcji logowania weryfikującego Telegram, a nawet doszło do poważnych strat majątkowych. Luka ta stała się ofiarą wielu znanych nazwisk w branży kryptowalut. Ostatnio Telegram ma wreszcie funkcję zaradczą, która pozwala temu zapobiec.
Luka w zabezpieczeniach telegramu! Giganci kryptowalut padają ofiarą jeden po drugim
Telegram ma metodę logowania, która wysyła kod weryfikacyjny, a wielu złośliwych aktorów wykorzystuje tę metodę do kradzieży kont.
Ponieważ Telegram może logować się za pomocą numeru telefonu komórkowego, o ile używany jest numer telefonu komórkowego użytkownika, na telefon komórkowy i logowane urządzenie może zostać wysłany „kod weryfikacyjny logowania”. Ponieważ numery telefonów komórkowych użytkowników Telegramu są domyślnie widoczne w systemie, numery telefonów komórkowych innych użytkowników będą widoczne dla „kontaktów”, a nawet „wszystkich”, jeśli celowo nie dostosują oni ustawień prywatności.
Kryminalny sposób działania złośliwych aktorów jest następujący:
Złośliwi uczestnicy wyślą wiadomość na konto potentata szyfrowania w serwisie Telegram, wskazując, że w jego kontaktach pojawiają się „dwóch zduplikowanych potentatów szyfrowania”, i poproszą potentata szyfrowania o wykonanie zrzutów ekranu ekranu jego telefonu komórkowego w celu ułatwienia identyfikacji.
Kiedy krypto guru zrobi zrzut ekranu, złośliwy aktor spróbuje zalogować się przy użyciu numeru telefonu komórkowego. W tym momencie kod weryfikacyjny logowania Telegramu zostanie również przesłany na linię konwersacyjną krypto guru za pośrednictwem oficjalnego konta.
W podglądanej części rozmowy wycieknie również pięciocyfrowy kod weryfikacyjny logowania. Jak pokazano niżej,
Dopóki potentat kryptowalut nie skonfiguruje weryfikacji dwuetapowej, szkodliwi aktorzy mogą skutecznie przejąć konto, wylogowując się ze wszystkich urządzeń, na których zalogowany jest potentat kryptowalut.
Efekt łańcucha luk w zabezpieczeniach telegramu, utrata aktywów portfela TON
Gdy potentat kryptowalut stanie się ofiarą, złośliwym aktorom łatwiej jest udawać potentata kryptograficznego i powtarzać tę metodę innym znajomym, aby popełnić oszustwo na koncie, tworząc efekt łańcucha; mogą kraść dane i zdobywać nowe konta.
Przerażające jest to, że skoro Telegram wspiera projekt kryptowalutowy Toncoin (TON) i ma wbudowaną aplikację portfelową, to gdy potentat kryptowalut stracił konto, utracił także uprawnienia do portfela:
Telegram w końcu naprawił lukę, a kod weryfikacyjny logowania jest niewidoczny
Być może dlatego, że podobnych oszustw jest zbyt wiele, tajemniczy zespół operacyjny Telegramu w końcu podejrzał „niewidzialny” kod weryfikacyjny logowania na terminalu wiadomości (ale w rzeczywistych testach tylko wersja mobilna będzie niewidoczna, a wersja komputerowa nie):
W efekcie szansa na zastosowanie powyższej metody jest jeszcze mniejsza. Ale najważniejsze jest to, że użytkownicy powinni przejść do interfejsu ustawień, aby skonfigurować więcej funkcji ochronnych, aby uniknąć szkód.
Ten artykuł to koszmar dla szefów walut! Powszechna luka w zabezpieczeniach Telegrama w końcu sprawiła, że ​​kod weryfikacyjny logowania stał się niewidoczny. Po raz pierwszy pojawił się w Lian News ABMedia.