幣圈大佬惡夢!Telegram常見詐騙漏洞,總算將登錄驗證碼隱身
分享
如果說 Twitter 是加密貨幣社群最常用的社群平台,那麼 Telegram 就是最常用的通訊軟體了。不過,Telegram 有著大量的社交詐騙,曾透過一項 Telegram 的驗證登入功能,盜取 Telegram 帳戶,甚至產生嚴重的資產損失。這項漏洞讓許多幣圈大佬受害,近期 Telegram 總算有補救功能預防。
Telegram 安全漏洞!加密大佬接連受害
Telegram 有透過發送驗證碼的登入方式,許多惡意行為者,透過這種方式來盜取帳戶。
由於 Telegram 可以透過手機號碼登入,只要透過用戶手機號碼,就可以向手機以及登入中的裝置發送「登入驗證碼」。因為 Telegram 用戶的手機號碼是系統預設可見的,若沒有刻意調整隱私設定其他用戶的手機號碼,都會暴露給「聯絡人」或甚至「所有人」知道。( Telegram 曾宣導改變手機號碼隱私)
廣告 - 內文未完請往下捲動
惡意行為者犯罪手法如下:
- 惡意行為者會向加密大佬 Telegram 帳號傳送訊息,表示他的聯絡人中出現「兩個重複的加密大佬」,透過話術請求加密大佬截圖手機畫面協助辨識。
- 在加密大佬截圖時,惡意行為者會透過手機號碼嘗試登入,此時,Telegram 的登入驗證碼也會藉由官方帳號推播到加密大佬的對話列之中。
- 透過對話可被預覽的部分,五位的登入驗證碼也會因此洩露。如下圖,
- 只要加密大佬沒有設置兩步驟驗證 (Two-Step Verification),惡意行為者再將加密大佬有登入的裝置全部登出,就可以順利奪取帳戶。
Telegram 漏洞連鎖效應、TON 錢包資產丟失
一但有加密大佬受害,惡意行為者更容易假扮加密大佬向其他朋友重複使用該方式進行帳號詐騙,成為一連串的連鎖效應;可以竊取資料,還能多取新帳號。
可怕的是,由於 Telegram 支援加密貨幣專案 Toncoin (TON),內建錢包應用,當加密大佬丟失帳戶的同時,也丟失了該錢包權限:
Telegram 總算補洞,登錄驗證碼隱身
可能是類似詐騙太多,神秘的 Telegram 營運團隊總算在訊息端為登錄驗證碼預覽「隱身」(不過實測下,只有手機版會隱身,電腦版不會):
這麼一來,上述手法成立的機會就更低了。不過重要的還是,用戶們應該要到設定介面去設置更多防護功能,以免受害。
