что значит запрос на авторизацию аккаунта телеграм
Приходят коды подтверждения телеграмм: что делать
Узнаем, почему приходят вам стали приходить коды подтверждения в телеграмм…
Вы обожаете чернуху в Телеграм, но вот незадача — стали приходить СМС с кодами.
Кто-то пытается получить доступ к вашему аккаунту телеграм или это пранк? Давайте разбираться.
В каких случаях телеграм отправляет коды подтверждения
Код подтверждения в телеграмме, всегда, приходит по конкретному запросу пользователя. Код может прийти в трех случаях:
Это единственные случаи, когда код отправляется самим телеграмом корректно и беспокоиться не нужно.
Что делать, когда приходят коды в СМС
Иногда код приходит без запроса пользователя. Помните: если приходят коды в СМС для подтверждения телеграмм — срочно поменяйте пароль на очень сложный
Если вы не пытались восстановить доступ к своему аккаунту, то ещё одна воможная причина — ошибочный ввод вашего телефона другим пользователем
Когда на телефон приходит код телеграм, который вы не запрашивали: проверьте почту. Там могут быть уведомления о попытке взлома аккаунта.
Активные сеансы + история входов
Скачайте и запустите веб-версию Telegram. Откройте настройки и кликните по кнопке «Активные сеансы».
На экране появятся логи активности вашего аккаунте. Проверьте их очень внимательно
Посмотрите: какие устройства использовались для входа в аккаунт / в какое время.
Резюме
Когда приходят коды подтверждения телеграмм — завершаем все сессии, срочно меняем пароль и активируем двухфакторную аутентификацию.
Group-IB рассказала о случаях взлома аккаунтов в Telegram при помощи перехвата SMS с кодом авторизации Статьи редакции
Таким способом злоумышленники могут получить доступ и к другим мессенджерам и сервисам без дополнительной защиты.
Злоумышленники могут получить доступ к переписке в Telegram, используя перехваченные SMS-коды, которые приходят пользователю при входе в аккаунт с нового устройства. Это выяснили специалисты по кибербезопасности российской Group-IB.
С проблемой несанкционированного доступа к переписке столкнулись несколько российских предпринимателей, они обратились в Group-IB за помощью, рассказали в компании. Пострадавшие пользовались устройствами на Android и iOS и были клиентами разных операторов связи.
Во всех случаях на устройствах пострадавших единственным фактором авторизации были SMS. Опасность в том, что таким образом злоумышленники могут получить доступ и к другим мессенджерам, социальным сетям, электронной почте, различным сервисам или приложениям мобильного банкинга, где для авторизации используются только SMS.
Во всех случаях, о которых известно Group-IB, злоумышленники входили в чужие аккаунты через мобильный интернет в Самаре. Компания нашла на хакерских форумах несколько объявлений о продаже доступа к разным мессенджерам. В одном из объявлений неизвестный обещает, что за 100 тысяч рублей покупатель через два-четыре дня сможет в режиме реального времени увидеть всю переписку человека в WhatsApp, Telegram или Viber.
Для защиты Group-IB рекомендует установить двухфакторную верификацию или пароль в дополнение к обязательной SMS в Telegram и других сервисах.
Новый вид спама в Telegram? Сообщения приходят от самого мессенджера
Привет, TJ! В последние 2 дня мне в Telegram приходят сообщения от технического аккаунта самого мессенджера (профиль с галочкой, номер +42777) с информацией о том, что через мой аккаунт пытаются авторизоваться на сомнительных сервисах.
Вчера это был какой-то клон сервиса по пробиву:
Сегодня через мой аккаунт якобы пытались авторизоваться на другом сайте. Открыв ссылку я узнал, что попал на приветственную страницу на сайте букмекера.
Через сервис Whois я узнал, что сайты, указанные в сообщениях, были зарегистрированы вчера и сегодня соответственно. В первом случае название «сайта» соответствовало содержимому, во втором — нет.
Это навело меня на мысль, что, скорее всего, это массовая регистрация доменов для рассылки спама. Потому что при переходе по обоим ссылкам было рекламное содержание, а не страница авторизации.
Получается, кто-то имитирует процесс авторизации через Telegram для рассылки спама от самого официального аккаунта Telegram?
Самое странное — данные сообщения затем пропадали из «чата» с Telegram. Первое продержалось около 8 часов, второе было удалено спустя несколько минут. Я их точно не удалял. Значит ли это, что Telegram сам удаляет свои технические уведомления? Можно понять это, если цель таких действий — остановить распространение спама, чтобы пользователи не переходили по сомнительным ссылкам. Но лично мне, как пользователю, уже успевшему прочитать сообщение, такая практика максимально некомфортна — например, теперь я не могу посмотреть, нажал я «Отклонить» или «Принять».
Написал по этому поводу в поддержку Telegram дважды 24 часа назад (заполнил форму на сайте и написал в чат Volunteer Support — на момент написания заметки ответа не было.
Кто-нибудь уже сталкивался с такой же проблемой?
Авторизация/Регистрация пользователя через Telegram
В данном топике хочу описать дополнительный, а для некоторых сервисов возможно и основной способ авторизации и регистрации пользователя через Telegram, подобно OAuth авторизации через социальные сети и web-сервисы.
Допустим, у Вас есть некий сервис, который предлагает пользователям вход через Telegram. На странице авторизации пользователю предлагается ввести его Username в Telegram. После ввода Username, на аккаунт пользователя приходит сообщение с кодом подтверждения, который он вводит на странице авторизации.
В первую очередь нам потребуется «живой» аккаунт в Telegram, то есть аккаунт который зарегистрирован на мобильный номер телефона. В данном случае боты не подходят для данной задачи, так как боты не могут писать сообщения первыми.
Теперь что касается серверной стороны.
На странице приложений Telegram есть не официальное приложение telegram-cli. Оно и будет выполнять функцию приложения которое будет взаимодействовать с сервером Telegram.
Для упрощения примера telegram-cli будем ставить в каталог /usr/local/src/:
cd /usr/local/src/
Ставим необходимые пакеты:
sudo apt-get install libreadline-dev libconfig-dev libssl-dev lua5.2 liblua5.2-dev libevent-dev libjansson-dev python-dev
Собираем telegram-cli:
./configure make
При первом запуске, приложение попросит ввести номер телефона нашего «живого» аккаунта. После ввода номера, будет выслан код подтверждения по смс или в приложение если данный аккаунт сейчас активен на другом устройстве. После подтверждения, в вашем домашнем каталоге будет создана директория «.telegram-cli» в которой будут хранится файлы конфигураций для указанного аккаунта.
Видим следующую картину: 
Выходим из приложения:
quit
Теперь нам необходим скрипт который будет взаимодействовать с telegram-cli.
По ключевым словам(telegram-cli php client) на GitHub было найдено готовое решение на PHP.
Создаем файл tg.php со следующим содержанием:
Запускаем скрипт:
php tg.php
Если все прошло успешно, пользователю будет отправлено сообщение с кодом.
На базе данного примера можно легко реализовать регистрацию/авторизацию пользователей через Telegram.
Как двухэтапная авторизация Телеграмм защищает данные пользователей
В связи с недовольством многих клиентов однофакторной аутентификацией на основе СМС-кода разработчики известного мессенджера добавили второй фактор проверки идентичности. В данной статье поговорим о том, что собой представляет двухэтапная авторизация Телеграмм и насколько она надежна в плане защиты клиентской информации.
Два фактора защиты данных
До апреля 2015 года пользователь мог авторизоваться в системе, введя полученный по СМС код. При этом дополнительной защиты от несанкционированного входа в мессенджер не существовало. Таким образом, злоумышленники могли перехватить сообщение, отосланное на телефон клиента, и обзавестись доступом к его переписке. И хотя массовых случаев подобных взломов не наблюдалось, разработчики во главе с Павлом Дуровым решили устранить подобную возможность.
Благодаря внедрению в Telegram двухэтапной авторизации теперь пользователь может установить дополнительный пароль, который вводится каждый раз при открытии приложения на новом девайсе. Помимо этого, осталась СМС-авторизация, выполняемая на первом этапе входа в систему.
Двухэтапная аутентификация Телеграмм позволяет установить пароль, запрашиваемый при входе в аккаунт с нового устройства.
Двухэтапный вход в мессенджер выполняется следующим образом:
Помогает ли двухэтапная авторизация Телеграмм от взлома аккаунта
На первый взгляд, данное нововведение является очень полезным для безопасного хранения информации на серверах мессенджера. Однако, как показала практика, даже с двумя факторами аутентификации возможность «угнать» аккаунт осталась. Как это происходит:
Хакерами была взломана двухэтапная авторизация Телеграмм, с помощью перехвата СМС кода.
По сути, для нейтрализации двухэтапной защиты, как и раньше, достаточно узнать СМС-код, отосланный на телефонный номер жертвы. Отличием является конечный результат. В этом случае атакующий имеет доступ к чистому аккаунту, тогда как взлом однофакторной защиты позволял прочитать всю переписку.
Случаи обнуления профиля известных деятелей
В апреле 2016 года произошел практически одновременный взлом аккаунтов Telegram Георгия Албурова (Фонд борьбы с коррупцией) и Олега Козловского (некоммерческая организация «Образ будущего»). Интересно, что несанкционированный доступ к аккаунтам был получен в результате отключения приема/передачи СМС на телефонах Албурова и Козловского. Позже, представители оператора сотовой связи (МТС) заявили, что техническая поддержка не производила отключение услуг на данных номерах, а проблемы со связью были вызваны вирусной атакой.
Три месяца спустя подобная неприятность случилась с журналистом Сергеем Пархоменко. По его словам, на мобильный номер стали приходить СМС с цифрами для авторизации. При попытке зайти на свой профиль журналист получил предложение пройти процедуру регистрации, как при первом посещении. Открыв аккаунт, Пархоменко обнаружил, что он полностью обнулен, а история переписки удалена. Таким образом, не помогли даже два этапа аутентификации, ведь злоумышленники смогли раздобыть необходимые данные у оператора связи.
Как подключить двухфакторную авторизацию в Телеграмм: пошаговая инструкция
Чтобы при входе в приложение с нового устройства система кроме СМС-кода запрашивала пароль, необходимо выполнить следующую процедуру:
Подобная инструкция справедлива для всех платформ, на которых работает Телеграмм. Чтобы убедиться, что новые настройки вступили в силу, следует попробовать войти в мессенджер с другого устройства. Если после ввода СМС-кода система запросила пароль, тогда авторизация работает корректно.
Дополнительная функция – Passcode
В одном из недавних обновлений Телеграмм для iOS и Android в меню появился пункт «Passcode». Данная функция позволяет настроить защиту для входа в приложение. Код может содержать как простую комбинацию из 4-х чисел, так и сложную с использование букв и прочих символов.
Подобная защита реализована достаточно гибко. Пользователь может установить запрос кода при каждом включении мессенджера или активировать функцию только в случае необходимости посредством нажатия специального значка в виде замка. Последний вариант удобен, если телефон на время остается без присмотра и существует вероятность, что переписка станет доступной постороннему человеку.
Кроме того, появилась возможность установки таймера автоблокировки, который заблокирует приложение и запросит код, если в течение определенного времени не производились активные действия. Система позволяет включить блокировку через 1 минуту, 5 минут, 1 час и 5 часов.
Функция Passcode защитит приложение от любопытных глаз
Ответ разработчиков
Павел Дуров заявил, что проблем с безопасностью мессенджера не было, а вину за взлом приложения полностью возложил на МТС. Тем не менее, служба поддержки на время отключила возможность обнуления активного профиля в случае забытого пароля. То есть, по сути, Дуров признал, что проблема существует и пообещал в ближайшее время решить ее «более элегантным путем».
На выставке Mobile World Congress 2016 Павел Дуров рассказал о проблеме безопасности Телеграмм.
По состоянию на конец августа 2016 года атака на аккаунт все так же возможна: атакующий, получив СМС-код клиента, может обнулить профиль и для этой операции ему не требуется пароль входа. Иными словами, двухфакторная аутентификация не работает, или работает не так надежно, как бы хотелось пользователям Telegram.