План-перехват. Как взламывали аккаунты российских журналистов в Telegram и как защитить свои данные

План-перехват. Как взламывали аккаунты российских журналистов в Telegram и как защитить свои данные

В ночь на 25 мая неизвестные с иностранными IP-адресами устроили атаку на Telegram-аккаунты российских журналистов. Павел Дуров обвинил в этом российские власти и призвал всех пользователей мессенджера включить в настройках приложения дополнительный способ защиты  — двухэтапную аутентификацию.

Cооснователь проекта «Digitalsecuritysimple», эксперт по цифровой безопасности Николай Квантилиани предполагает, что оператор связи мог обеспечить доступ к сим-карте журналистов по запросу спецслужб. Он рассказал «МБХ медиа», как защитить свой аккаунт в Telegram и что делать, если вас все-таки взломали.

Ночной звонок

25 мая в 6 утра я проснулась и узнала, что всю ночь моим аккаунтом в Telegram пользовались неизвестные. «Мы обнаружили вход в ваш аккаунт с нового устройства. Устройство Android. Место входа: Санкт-Петербург. Россия. IP=217.66.152.67». Позже было еще несколько таких входов, IP в каждом случае менялся, как и страна. Чаще всего аккаунтом пользовались из США — вероятно, злоумышленники пользовались анонимайзерами.

Из истории активности (ее можно посмотреть в приложении Telegram) стало ясно, что читали мою переписку со смартфона LG, потом перешли на Web-версию и заодно скачали все файлы, которые находились в чатах.

История активности в приложении. Фото: предоставлено Людмилой Савицкой

Я не опасаюсь, что моя переписка с друзьями окажется в публичном доступе в издании «ФАН», на телеканалах «НТВ», «Россия-24», в эфире Дмитрия Киселева и других провластных порталах. Ничего противозаконного я не писала. Под угрозой моя профессиональная деятельность: значительная часть сообщений и в аккаунте — мои переговоры с конфиденциальными источниками, героями публикаций и редакторами.

Мои последние публикации были связаны с военным участием РФ в Сирийском конфликте, сомнительными операциями РПЦ, преступлениями священнослужителей, преследованием моей подруги и коллеги журналистки Светланы Прокопьевой и деятельностью региональных оппозиционеров. 24 мая мы с коллегой снимали сюжет с вдовой погибшего в Сирии псковского десантника, были в военкомате, где наши данные переписали и съемку запретили.

От главреда «Znak.com» Дмитрия Колезева я узнала, что ломали в эту ночь не только меня. «Какие-то добрые люди пытались ночью получить доступ к моему аккаунту в Telegram (с испанского айпишника). Но споткнулись о двухэтапную аутентификацию. Передаю им привет. (Кстати, можете сильно уж не стараться, там ничего особо интересного)», — написал Колезев и рассказал, что также пытались взломать Telegram-аккаунт заместителя главного редактора Ura.ru Антона Ольшанникова и еще двух уральских журналистов, которые активно освещали протесты, вызванные строительством храма в Екатеринбурге. Все попытки взлома были совершены с испанского IP-адреса.

Редакция издания «Код Дурова» считает, что злоумышленники получили доступ к номеру (сим-карте) журналиста. И говорят о двух версиях произошедшего: либо у неизвестных был физический доступ к телефону или сим-карте Дмитрия Колезева, либо с помощью мобильного оператора они смогли временно изменить привязку его номера к другой сим-карте, которая была у них на руках.

В моем случае ночью также приходил код в смс-сообщении. Так как двухэтапной аутентификации не было, злоумышленники, считав код из смс, успешно вошли в аккаунт.

СМС и уведомление в Telegram. Фото: предоставлено Людмилой Савицкой

«Сегодня российские власти пытались взломать [аккаунты] четырех журналистов, освещающих протесты в Екатеринбурге. К счастью, все эти попытки провалились из-за двухфакторной верификации. Случившееся напоминает нам о том, что власти авторитарных стран ни перед чем не остановятся, чтобы нарушить конфиденциальность своих граждан», — отреагировал на событие основатель Telegram Павел Дуров.

Причем тут храм?

К обеду о попытке взлома Telegram-аккаунта с испанского IP также сообщилдиректор коммуникационного агентства Magic Inc Платон Маматов. «Да, меня тоже попытались вскрыть „испанцы“. Казалось бы, при чем тут храм:)», — написал Маматов.

Дмитрий Колезев предполагает, что попытки взлома екатеринбургских журналистов могли быть связаны с тем, что они активно освещали протесты из-за строительства храма в Екатеринбурге.

У меня в это же время в МБХ медиа и на Радио Свобода вышло два материала о РПЦ — в одном шла речь о пьяном иеродиаконе, устроившем ДТП, где жертва три месяца находилась в лежачем состоянии и только сейчас начала потихоньку вставать. В другом — о протоиерее Александре Ильницком, который решил снести детскую площадку в Новосокольниках, и вопреки протестам жителей на ее месте поставить трехметровый памятник Святителю Николаю. Обе публикации получили резонанс и, по словам одной из героинь, привлекли внимание «правоохранительных органов и разных служб».

«Скорее всего, взлом произошел через оператора»

«Все, что синхронизируется с облаком, они у вас скачали. Произошел взлом учетной записи и получен доступ ко всей коммуникации (текст/пересланные файлы, контактный лист) — сообщил мне сооснователь проекта „Digitalsecuritysimple“, эксперт по цифровой безопасности Николай Квантилиани. — И тут возникает вопрос, как именно взломали, потому что для взлома должен быть доступ к телефону или сим-карте. Скорее всего, взлом произошел через оператора».

Для логина на новом устройстве Telegram предлагает использовать номер телефона в качестве идентификатора пользователя. Смс-сообщение в этой ситуации служит способом проверки. Соответственно, злоумышленнику необходимо перехватить эту авторизующую пользователя смску.

Николай Кванталиани

«И здесь есть несколько вариантов. Первый, когда взломщик делает дубликат сим-карты и подключает ее (тогда сим-карта пользователя становится временно неактивной, так как одномоментно может работать только одна сим-карта, привязанная к номеру). И тогда претензию нужно предъявлять оператору за халатность сотрудников, которые без достаточного основания и запроса пользователя сделали дубликат сим-карты. Второй — когда злоумышленник имеет доступ к оборудованию СОРМ, установленному на уровне оператора, предоставляющие услуги GSM-связи. В этом случае надо уточнять у органов правопорядка, на каком основании это сделано», — объясняет Николай Кванталиани.

«„Tele2“ не выдает ваши данные никому. И смс поступают вам из смс-центра. По этому вопросу вам стоит обращаться в Telegram. Мы предоставляем ответы на вопросы, связанные с услугами связи», — заявил мне старший оператор «Tele2» Денис и несколько раз подчеркнул, что не несет ответственность за Telegram.

В «Tele2» также отказались зарегистрировать претензию по телефону и посоветовали воспользоваться личным кабинетом.

«Если произошел перехват на уровне оператора, последний это точно не признает, — убежден Николай Кванталиани. — Есть, конечно, вариант, что перехват был на уровне устройства (использовалась шпионская программа), но это маловероятно».

Вечером 25 мая со мной связался представитель силовых структур, попросивший не называть свое имя в публикации, и сообщил, что мой номер может «уже давно стоять на прослушке». Разрешение на это, по его информации, мог дать Псковский областной суд.

Источник предполагает, что основанием для решения суда стало уголовное дело, в рамках которого и ведется оперативно-розыскная деятельность. Мой собеседник не смог назвать статью УК РФ, по которой возбуждено уголовное дело. «Когда задержат — узнаете статью», — уклончиво заявил он.

«Не используйте номера российских операторов»

В ситуации, когда ваш аккаунт уже взломали, Николай Кванталиани рекомендует поступать следующим образом: проинформировать ваших друзей и коллег, посмотреть какая информация была похищена, продумать стратегию поведения, если информация станет общедоступной и публичной или будет использоваться для оказания давления на вас, а на будущее использовать дополнительные меры защиты для чувствительной переписки — двухэтапную аутентификацию, секретные чаты, мессенджеры, которые используют шифрование от устройства до устройства (end-to-end).

Эксперт по цифровой безопасности советует не использовать номера российских мобильных операторов как второй фактор и для привязки к аккаунтам, использовать мессенджеры, которым не требуется телефонный номер для авторизации пользователя, использовать секретные чаты и удалять чувствительную коммуникацию после завершения разговора.

«Ситуация с репрессиями журналистов в России становится, к сожалению, печальной реальностью нежели новостью, которая может удивлять, — считает Кванталиани. — Поэтому нужно комплексно подходить к вопросам защиты журналистов (контакты, источники информации и сами журналисты). Важно, что этот вопрос безопасности стал важным для журналистов редакций и людей, которые предоставляют информацию журналистам».

Автор:  Людмила Савицкая; MBK.news

Читайте также: