Очередной SMS-скандал про взлом переписки

Как всегда, «угон аккаунтов», интриги-скандалы-расследования и прочие «происки врагов демократии». Всё как мы любим. Очередная мировая сенсация с навешиванием ярлыков и призывами к всенародному бойкоту. А что произошло на самом деле? Достоверно утверждать пока нельзя, но кейс интересный и поучительный.

Цель публикации – оценить возможные варианты и сделать выводы. Чтобы в будущем действовать соответственно. Без лишних эмоций и криков «враги сожгли родную хату!». Нам с вами эпизод интересен для понимания работы определённых механизмов.

Что это было?

Ночью 29 апреля взломали аккаунты месcенджера Telegram оппозиционного активиста Олега Козловского и сотрудника Фонда борьбы с коррупцией Георгия Албурова. Надо полагать, кто-то почитал и скопировал переписку, тем дело и закончилось. О финансовых или иных последствиях пока ничего не сообщалось, но и произошедшего более чем достаточно. Во всяком случае, инцидент был широко освещён везде, где оппозиционным активистам его осветить удалось (ТВ «Дождь», «Медуза» и аналогичные издания). Хронология события от лица одного из пострадавших (Георгия Албурова), орфография оригинала сохранена:

«Больше трех дней прошло с момента взлома моего и Олег Козловский телеграмов при помощи МТС. Ярость и возмущение сменилось холодной и отрефлексированной жаждой мести. Что же произошло?

  1. В ночь на 29 апреля МТС по приказу злоумышленников (ФСБ) отключает нашим с Козловским телефонам возможность принимать СМС
  2. Для наших телеграм-аккаунтов запрашивается СМС код для входа, который МТС не доставляет, а передает злоумышленникам
  3. Злоумышленники выкачивают нашу переписку и включают возможность принимать СМС
  4. МТС сразу признается (Козловскому и Телегаму), что их отдел безопасности (читай филиал ФСБ) отключил нам услугу СМС, при этом указывает точное время
  5. МТС начинает отрицать, что отключения услуг были. Предыдущие заявления называет «технической ошибкой».

Скриншот оригинала (полный текст) см. выше. Суть атаки понятна: злоумышленник каким-то образом завладел кодом авторизации, который Telegram отправил внутри SMS на телефоны Григория Албурова и Олега Козловского. Далее авторизовался в сервисе Telegram и (скорее всего) смог почитать и скопировать переписку. Пока абстрагируемся от уже заранее сделанных выводов о «происках кровавой гэбни», собираем факты в кучку.

Мнение Павла Дурова, создателя Telegram, озвученное на сайте «Дождя»:

«Судя по всему, спецслужбы РФ решили начать давить на операторов связи, чтобы те стали осуществлять перехват авторизационного SMS-кода». Дуров добавил, что Telegram планирует сделать массовую рассылку по России с советом всем находящимся под угрозой пользователям включать двухфакторную авторизацию, «так как операторы связи РФ как верификатор ненадежны».

Твиттер-профили пострадавших от взлома. Телефоны указаны в профилях, а у активиста и агента изменений Олега Козловского обозначена и привязка номера к сервису Telergram. Безопасная двухфакторная авторизация не была подключена к сервису Telegram ни у одного из пострадавших от взлома. Номеров привязанных к телефонам кредитных карт в профилях почему-то нет, странно. Шутки шутками, но «оппозиционный активист» и «агент изменений» как будто сами напрашивались на неприятность, согласитесь.

Ответ от Telegram с отсылкой к «службе поддержки МТС». Вот тут начинает быть интересно. Дело в том, что прямого контракта с МТС на доставку SMS-сообщений у Telegram нет, мессенджер пользуется услугами одного из SMS-агрегаторов. Это посредник, у которого есть действующий контракт с МТС и который продаёт своим клиентам SMS-трафик дешевле, чем закупает его оптом в МТС. Агрегатор получает тексты SMS-сообщений от своих клиентов (в нашем случае от Telegram) и далее сам перенаправляет эти SMS в МТС вместе с номерами телефонов, которым эти SMS предназначаются. Вопрос: к кому обратился Telegram с вопросом о судьбе своего SMS-сообщения? К МТС? Сомневаюсь, Telegram для МТС не клиент и вообще никто. К своему SMS-агрегатору? Более вероятно.

Поехали дальше. Ответ МТС в твиттере «по горячим следам» см. выше. Означает ровно то, что в ответе написано: «действий обслуживания не производилось» подразумевает полное отсутствие каких бы то ни было операций руками сотрудников на номере. Более развернутый комментарий пресс-службы МТС через 2 дня: «Никаких целенаправленных действий по отключению услуг не производилось, появившаяся в блогах информация об отключении услуги сотрудником не соответствует действительности».

Мнение Олега Козловского:

«"Главный вопрос в том, каким образом неизвестные получили доступ к коду, который был отправлен на SMS, но не доставлен. К сожалению, у меня есть только одна версия: через систему СОРМ или напрямую через отдел техбезопасности МТС (например, по звонку из "компетентных органов"). Если есть другие варианты - предлагайте", - добавил Козловский и посоветовал всем пользователям Telegram подключать двухэтапную авторизацию (т. е. не только SMS, но и пароль)».

Версия 1

Гипотеза взлома через СОРМ (Система оперативно-розыскных мероприятий). Традиционно наша оппозиция любые свои горести и передряги объявляет происками спецслужб, но мы постараемся не обсуждать политику. Версия правдоподобна? На мой взгляд, не очень. СОРМ, конечно, никто не отменял, но эта система позволяет слушать/читать, а не совершать какие-то действия на оборудовании оператора. То есть, воспрепятствовать доставке SMS-сообщений через СОРМ вряд ли можно. Плюс традиционный вопрос «Зачем?». Насколько я понимаю, в рамках СОРМ любые переговоры и любая переписка должны быть доступны, иначе никакая компания, никакой оператор и никакая технология не будут допущены к работе в России. А мессенджер Telegram, заметьте, активно рекламировался и продвигался государственными и окологосударственными компаниями. Если не ошибаюсь, даже министр связи что-то тёплое писал о Telegram в своём твиттере. Зачем устраивать пляски с бубном вокруг того, что и так лежит на блюдечке с голубой каёмочкой?

Версия 2

«Слив» на стороне SMS-агрегатора. Та самая «прокладка» между оператором и сервисом Telegram. Версия выглядела очень правдоподобно и не противоречила ни одному из фактов. Действительно, зачем было отключать жертвам SMS-сервис, когда было достаточно задержать отправку одного SMS с кодом в сеть оператора? Использовать код для входа и слива переписки, а потом доставить это SMS с некоторой задержкой. Или вовсе не доставить, неважно. В такой версии всё прекрасно стыковалось: в МТС справедливо отвечали «никто ничего не делал» (SMS до сети оператора даже не дошло), пострадавшие винили МТС, т. к. о самом существовании агрегатора даже не подозревали, в своём ответе Telegram могли цитировать ответ на свой запрос именно агрегатора. Да, был телефонный звонок в контактный центр и один из пострадавших утверждал, что ему сказали об отключенной услуге SMS, но был ли правильно понят сотрудник? Однако через день пострадавшие выложили в интернет свои счета за апрель, и всё стало намного интереснее.

Счетоводство

А если всё-таки дело было в МТС? Пару слов разъяснений про то, чем является ежемесячный счёт. Это документ, в котором фиксируются суммы трат и поступивших денег, звонки и SMS по разным направлениям (тоже суммарно), все подключаемые и отключаемые в течение месяца дополнительные и базовые услуги. В случае исправления ошибочных списаний цифры не меняются, вы увидите в счёте дополнительные строчки с указанием сумм корректировок. Если не ошибаюсь, именно та часть биллинга, которая занимается обработкой/выпиской счетов, как раз и является сертифицированной. В отличие от всяких детализаций и ответов на запросы о последних платных действиях, которые предоставляются для ознакомления. А вот ежемесячный счёт считается истиной в последней инстанции, внести в него изменения задним числом (да и «передним» тоже) практически невозможно.

Давайте посмотрим на выложенный в интернет счёт (картинка в большем разрешении доступна по клику), в нескольких строчках счёта много интересного. Всё написанное ниже действительно только при условии того, что счёт не был отредактирован в фотошопе. На мою просьбу заказать счёт в интернет-помощнике на мой адрес email господин Козловский, к сожалению, не отреагировал.

Итак, в 2:25 ночи была подключена услуга «Запрет информирования при добавлении/удалении услуг». С этого момента любые действия на номере перестали фиксироваться в SMS-сообщениях абоненту. В интернет-помощнике эта услуга есть, но эта услуга технологическая. Используется сотрудником МТС в случаях, когда на номере нужно выполнить много операций (например, при смене владельца номера) и клиента ни к чему зря нервировать кучей непонятных SMS-сообщений.

Через 34 секунды на номере отключают SMS-сервис и мобильный интернет, теперь ни одна входящая SMS до телефона не доберётся. Мог ли это сделать сам абонент или кто-то в режиме удалённого доступа? Сам абонент — почти исключено, профессионал в режиме удалённого доступа — маловероятно. Система должна была сперва обработать «запрет информирования», человек должен был в этом убедиться и потом запустить отключение SMS-сервиса. В режиме удалённого доступа к системе уложиться в 34 секунды практически невозможно. Работая с прямым доступом к базе на месте — реально.

Из прочего интересного — ещё одно отключение на номере мобильного интернета на период 7 минут. Зачем? Трудно сказать. Олег Козловский считает, что отключали после его первой жалобы, чтобы подчистить хвосты, но это непринципиально. Нам интересно то, что между взломом и повторным отключением интернета прошло больше 14 часов. Т.е. в «операции» либо участвовал не один сотрудник МТС (рабочая смена в контактном центре длится 12 часов), либо один, но не совсем простой сотрудник с наличием доступа к биллингу из дома.

Версия 3

Всё было исполнено только внутри МТС? Навскидку такой вариант напрашивается, но есть определённые нестыковки. Главный вопрос: кто прочитал пришедшее SMS и вытащил из него код для регистрации в чужом аккаунте Telegram? В рамках этой версии SMS с кодом до телефона не дошло (и не могло дойти), застряв где-то в недрах SMS-центра. Не думаю, что в МТС так уж много специалистов с уровнем квалификации и правами доступа для того, чтобы вытащить из SMS-центра и прочитать злополучную SMS с кодом. А если «операцию» проводил специалист такого уровня, то почему он так «намусорил» в биллинге? Можно же было отключить SMS-сервис для номера на коммутаторе, и тогда счёт сохранил бы девственную чистоту. В конце концов, можно было просто на пару часов отключить SIM-карту от сети, и тогда вообще никаких следов не осталось бы. То же относится к версии «операции» на корпоративном уровне по заказу спецслужб, на такой версии настаивают оппозиционеры. Это был бы совсем уж маловероятный сценарий махрового непрофессионализма на стороне МТС, поверить в такое трудно. И вспоминается бородатый анекдот про «неуловимого Джо», см. раздел «Версия 1».

Версия 4

«Двухходовочка» МТС + агрегатор. С точки зрения финансовых вложений вариант выглядит самым привлекательным. Выцепить и прочитать SMS на стороне агрегатора, а на стороне МТС подключить блокирующие услуги силами простого труженика контактного центра города Ульяновска. За сравнительно небольшие деньги. Немного смущает повторное отключение мобильного интернета через 14 часов.

Версия 5

Наконец, сценарий хорошо спланированной провокации тоже нельзя исключить. Очень уж бурная PR-активность мгновенно развернулась по этому поводу, в том числе в иностранной прессе. Не обошлось и без натяжек. Например, в РБК позавчера вдруг опубликовали гневную статью про «сверхдоходы» МТС от услуги «Вам звонили» на пакетных тарифах. Причем, «актуальная аналитика» РБК неожиданно родилась спустя месяца полтора после того, как плату за эту услугу в МТС отменили. Ещё обеспокоенный народ приходит в салоны МТС, они «по радио слышали» о том, что в МТС теперь будут брать плату за входящие звонки. А уж телеканал «Дождь» всех подписчиков напрочь залил своим атмосферным осадком на эту тему. Я, например, до этого случая про существование Олега Козловского не подозревал и про сообщество «агентов изменений» тоже не слышал. Теперь слышал, знаю и вас вот приобщил к этому знанию, ЧТД.

Резюме

Его, к сожалению, на этот раз не будет. В МТС пока молчат, действуя по известному принципу идущего каравана и сопутствующей каравану активности. Если выложенные в сеть счета не фейк, то правильнее было бы отреагировать в период затишья майских праздников. Что касается перечисленных выше версий произошедшего, то лично у меня предпочтений нет, честно. Выбирайте ту версию, которая соответствует вашим убеждениям, и бодайтесь себе на здоровье в комментариях. Пока с интересом ждём дальнейшего развития событий. Главное, не забывайте про двухфакторную авторизацию, её придумали именно для предупреждения таких неприятностей.

Ссылки по теме

Сергей Потресов ([email protected])

Опубликовано - 08 мая 2016 г.

Поделиться

Мы в социальных сетях:

Новости:

13.05.2021 MediaTek представила предфлагманский чипсет Dimensity 900 5G

13.05.2021 Cайты, имеющие 500 тысяч пользователей из России, должны будут открыть местные филиалы

13.05.2021 Amazon представила обновления своих умных дисплеев Echo Show 8 и Echo Show 5

13.05.2021 МТС ввел удобный тариф без абонентской платы - «МТС Нон-стоп»

13.05.2021 Zenfone 8 Flip – вариант Galaxy A80 от ASUS

13.05.2021 Поставки мониторов в этом году достигнут 150 млн

13.05.2021 Состоялся анонс модной версии «умных» часов Samsung Galaxy Watch3 TOUS

13.05.2021 Tele2 выходит на Яндекс.Маркет

13.05.2021 OPPO представила чехол для смартфона, позволяющий управлять устройствами умного дома

13.05.2021 TWS-наушники с активным шумоподавлением Xiaomi FlipBuds Pro

13.05.2021 В России до конца следующего года появится госстандарт для искусственного интеллекта

13.05.2021 ASUS Zenfone 8 – компактный флагман на Snapdragon 888

12.05.2021 Компания Genesis представила внешность своего первого универсала G70 Shooting Brake

12.05.2021 В России разработан высокоточный гироскоп для беспилотников

12.05.2021 В Россию привезли новую версию смарт-часов HUAWEI WATCH FIT, Elegant Edition

12.05.2021 Раскрыты ключевые особенности смартфона POCO M3 Pro 5G

12.05.2021 Honor 50: стали известны дизайн и другие подробности о смартфоне

12.05.2021 Чипсет Exynos 2200 от Samsung будет устанавливаться и в смартфоны, и в ноутбуки

12.05.2021 МТС начала подключать многоквартирные дома к интернету вещей

12.05.2021 iPhone 13 будет толще и получит более крупные камеры по сравнению с iPhone 12

12.05.2021 Xiaomi договорилась с властями США об исключении из чёрного списка

12.05.2021 Xiaomi выпустила обновлённую версию умного пульта Agara Cube T1 Pro

Hit

12.05.2021 Игровые ноутбуки с NVIDIA GeForce RTX 3050 Ti уже в России!

12.05.2021 Индийский завод Foxconn сократил производство в два раза

12.05.2021 Lenovo отказалась от очного участия в предстоящем в июне Mobile World Congress

Подписка
 
© Mobile-review.com, 2002-2021. All rights reserved.