Недавно мы написали статью о наиболее популярных методах кражи учетных записей в Telegram.
• Распространение фишинговых сообщений о получении Premium-подписки.
• Отправка сообщений с просьбой помочь в голосовании.
• Получение кода авторизации под видом сотрудников техподдержки, правоохранительных органов и т. п.
• Выпуск дубликата сим-карты.
• Копирование файлов с активными пользовательскими сессиями.
Из того, что особенно интересно:
tdata, (appstore, stable — для macOS) с ключами авторизации устройства (authorization key) остается незаметной для пользователя (отсутствует информация о дополнительной сессии в списке активных устройств).Для Windows:
C:\Users\<Имя пользователя>\AppData\Roaming\TelegramDesktop\tdataДля Linux:
/home/<Имя пользователя>/.local/share/TelegramDesktop/tdataДля macOS, клиент версии Telegram for Mac:
HDD/Users/<Имя пользователя>/Library/Application Support/Telegram Desktop/tdataДля macOS, клиент версии Telegram for macOS:
HDD/Users/<Имя пользователя>/Library/GroupContainers/6N38VWS5BX.ru.keepcoder.Telegram/appstore (stable, если устанавливали через DMG-файл)Для
Google Chrome злоумышленники копируют содержимое каталогов:Windows:
C:\Users\<Имя пользователя>\AppData\Local\Google\Chrome\User Data\DefaultLinux:
/home/<Имя пользователя>/.config/google-chrome/DefaultmacOS:
HDD/Users/<Имя пользователя>/Library/Application Support/Google/Chrome/Defaulthttps://web.telegram.org/ из приложения на компьютере или мобильном устройстве генерируется токен доступа к содержимому учетной записи — возможно войти в веб-версию Telegram. Попробуйте сами!📝 Даются рекомендации, как выявить нелегитимные сессии и обезопасить себя от рассмотренных атак.
Полный текст статьи читайте на Хабре.
#dfir #macos #win #linux #web
@ptescalator
Please open Telegram to view this post
VIEW IN TELEGRAM
👍40🔥22😁8😨2🆒2