Недавно моему родственнику, которому за 60, взломали аккаунт в Telegram. Всё началось с, казалось бы, безобидной ссылки — «проголосуй за дочку в конкурсе». Он перешёл, открыл страницу и ввёл свой номер телефона. Всё. Этого хватило, чтобы аккаунт был угнан.
Как это вообще возможно?
СИМ-карта с этим номером не была вставлена в телефон, и никакие SMS ему не приходили. Тем не менее, злоумышленник каким-то образом активировал свой сеанс. Мы попытались восстановить доступ — и столкнулись с неожиданной проблемой.
После входа с кодом из SMS оказалось, что наш сеанс не основной. А основной — это сеанс злоумышленника. Мы не могли ни завершить его сессию, ни остаться в системе — через минуту нас выбрасывало. Злоумышленник моментально получал уведомление: «Кто-то вошёл в аккаунт. Это вы? Да / Нет». Стоит ему нажать «Нет» — и нас выкидывает. Порочный круг.
Telegram — друг взломщика?
Самое неприятное — Telegram фактически помогает злоумышленнику. При попытке входа сначала уведомление уходит на другое устройство (мошеннику), и только потом приходит SMS настоящему владельцу. То есть вор знает о попытке вернуть аккаунт заранее и может мгновенно отреагировать.
Мы написали в техподдержку. Прошло 5 дней — ответа нет. А в это время злоумышленник писал друзьям моего родственника с просьбами «одолжить денег».
Решение — радикальное, но рабочее
Мы пошли на крайние меры — удалили аккаунт. Вот инструкция, которая помогла:
Инструкция: как удалить Телеграм за 1 минуту, пока тебя не выкинули
1. Откройте ссылку: https://my.telegram.org/delete
2. Введите номер, но не нажимайте Next
3. Зайдите в Telegram через SMS (у вас будет около минуты)
4. Вернитесь на сайт и нажмите Next
5. В Telegram придёт код (латинские буквы и цифры)
6. Быстро введите его на сайте и нажмите Delete
Аккаунт был удалён. Мы тут же зарегистрировали новый — с тем же номером. Да, все чаты утеряны. Но это лучше, чем махнуть рукой и оставить мошеннику полный контроль.
Дополнение: о чём важно знать каждому
Telegram хранит переписку на своих серверах. Это удобно, когда заходишь с другого устройства — история тут же загружается. Но у этого есть обратная сторона:
Злоумышленник, получивший доступ к аккаунту, видит всю вашу переписку. Если вы в этой переписке кому-то передавали какие-то личные данные, пароли доступа и т.д. - всё это получит и злоумышленник.
Если кто-то, например, «товарищ майор», получит дубликат SIM-карты через мобильного оператора, он также получит SMS-код и может войти в ваш аккаунт. И тоже сможет прочитать всю вашу переписку.
Вывод
Я с уважением отношусь к Telegram и Павлу Дурову. Но логика приоритетов доступа требует пересмотра. Тот, кто вводит SMS-код, должен быть признан владельцем. Сейчас же человек с симкой — просто наблюдатель, в то время как злоумышленник распоряжается аккаунтом как своим.
Кроме того, Telegram сам себе противоречит. Вошедший через SMS получает всего минуту, и не считается «хозяином» аккаунта — даже если он ввёл код с телефона, привязанного к номеру. Но при этом, за эту минуту Telegram разрешает удалить весь аккаунт! Опять же, где логика? Мошенника выгнать нельзя, а грохнуть аккаунт — пожалуйста.
Не переходите по ссылкам — даже если их прислали знакомые. И подумайте, стоит ли привязывать свой Telegram к номеру, который может быть скомпрометирован.