非常感谢我的 TG频道关注者提出了这个重要主题,研究人员最近观察到帐户劫持事件显着增加,尤其是 Telegram 帐户劫持事件。值得一提的是,在大多数情况下,网络钓鱼和社会工程经常同时使用。
然而,我今天想谈谈帐户因信使漏洞而不是网络钓鱼攻击而受到损害的实例(值得庆幸的是,这些攻击通常很快就会得到修复):
CVE-2022-36934 (WhatsApp 中的严重漏洞)— 允许在执行视频通话时通过缓冲区溢出执行 RCE;
CVE-2022-27492 (WhatsApp 中的漏洞)— 允许通过发送预先创建的视频文件来执行 RCE;
2017 年,有许多关于通过发送(仅)图像文件来劫持 Telegram 和 WhatsApp 帐户的可能性的新闻报道。而且您不一定需要将其下载到手机上才会感染恶意软件。不过,到目前为止我还没有找到任何关于此 CVE 的确认信息。
这里可以得出什么结论?除了 2FA、邮件绑定和其他功能之外,在 Messenger 中最好做的事情就是关闭文件自动下载。
要禁用 Telegram 上的自动下载,请转到“隐私和安全→数据设置”。这适用于wifi 和蜂窝连接。你永远不知道会发送给你什么,以及昨天刚刚发布的 0day,所以永远记住,凡事预则立,提前采取一切必要的安全预防措施,以免为时已晚。
https://github.com/OffcierCia/Crypto-OpSec-SelfGuard-RoadMap/blob/main/README.md
当然,您应该始终记住,除非您学会对输入、发送和打开的内容和位置更加谨慎,否则任何防病毒软件或双因素身份验证都没有任何用处!
私人还是匿名?
在当今互联的数字环境中,保护我们的在线帐户的重要性怎么强调也不为过。随着个人越来越依赖即时通讯平台进行交流,保护我们的隐私和个人信息的必要性变得至关重要。特别是,当谈到 Telegram(一款以其隐私功能和加密而闻名的应用程序)时,必须了解保护我们帐户安全的重要性,以加强我们的数字存在,抵御来自恶意行为者的潜在威胁。
Telegram 广泛的用户群和对隐私的重视使其成为寻求安全通信方式的个人和组织的有吸引力的选择。然而,尽管 Telegram 提供了强大的安全功能,但用户仍必须采取主动措施来保护其帐户和敏感信息。
从本质上讲,保护 Telegram 帐户安全的需要超越了个人利益——它延伸到培育一个更安全、更注重隐私的数字社区。通过优先考虑账户安全并实施强有力的措施来加强您在平台上的存在,您不仅可以保护自己的隐私和信息,还可以为提升 Telegram 网络的整体安全状况做出贡献。
认真地说,人类的自由是以隐私为基础的;没有它,决定很容易受到从刑事起诉到公众谴责到强制措施等各种因素的影响。我认为,隐私必须受到保护,这一规则不应有任何例外。您的数据属于您且仅属于您,而不属于任何第三方,例如公司、黑客或特殊服务。
综上所述,必须区分匿名和隐私。隐私意味着人们可以清楚地知道你是谁,但他们不知道你会做什么。匿名表明,尽管您所做的事情众所周知,但人们并不知道您的身份。
对于大多数人来说,匿名是可取的,但不是必需的。如果您担心任何人看到您的数据,您需要匿名。但是……安全性“有多高”?好吧,取决于您的威胁模型,其中包括您的操作、可能的攻击者的身份以及其他因素。在线安全、隐私和匿名与个人安全相结合会更加安全。虽然隐私至关重要,但并非每个人都需要个人安全或匿名。
由于执法部门和“大型科技”公司首先对您的数据感兴趣,请保护自己而不是依赖他人。避免问自己是否有什么需要隐瞒的事情。您有什么想要保证安全的东西吗?多起辩护的“无害监视”事件产生了严重影响。
请三思。随着技术的发展,确保我们的数字存在变得越来越重要,这强调了对所有数字平台的帐户安全做出坚定承诺的必要性!
Telegram:设置清单
轻量级聊天客户端 Telegram 是加密货币中最常见的通信方法之一,这是有充分理由的。该应用程序也经常用于工作和交流,因此按理说,诈骗者和黑客也会在那里寻找受害者。
这篇文章最初是我自己为immunefi.com (我的前工作)撰写的。
让我们弄清楚如何不成为受害者!让我们开始吧!
谨防冒充者(仔细检查 Telegram 简介,因为诈骗者可能会在他的简介中插入任何昵称并将自己的昵称留空)、有关登录 Telegram 的虚假通知(仔细查看它们,它们应该进入官方Telegram新闻和提示频道)带有网络钓鱼链接、假机器人(是的,机器人——不是用户帐户——可能会先发私信) 等等!
所有电报聊天都不是 1:1 端到端加密,也不是群组加密——只有 TLS。只有秘密聊天一iirc。
电话号码 → 谁可以看到我的电话号码 — 没有人;
数据和存储 → 自动下载媒体 → 关闭;
电话号码 → 谁可以通过我的号码找到我 — 我的联系人;
最后上线时间 → 谁可以看到我的时间戳 — 没有人;
个人资料照片→谁可以看到我的个人资料照片——我的联系人;
通话 → 谁可以给我打电话 — 我的联系人(或无人,如果您愿意的话);
通话 → 点对点 — 我的联系人(或无人,如果您不想与聊天伙伴共享您的 IP 地址);
当您开始通话时,您会在右上角看到四个表情符号 - 请您呼叫的人说出它们的名称并将它们与您的进行比较(它们应该与您的相同)。这是对 MitM 的保护;
转发的消息 → 谁可以在转发我的消息时添加指向我的帐户的链接 — 我的联系人;
切勿将联系人添加到 Telegram(如果有的话 - 删除它们),并始终使用VPN ;
群组和频道 → 谁可以添加我 — 我的联系人;
设置2FA(云密码);
设置云电子邮件2FA!;
禁用贴纸循环动画!动画贴纸=危险;
禁用自动下载( Wi-Fi 和蜂窝网络):隐私和安全 → 数据设置;
禁用所有人的 P2P 通话,因为它可能会暴露您的IP !秘密聊天也一样!端到端加密意味着您的IP将会被您正在聊天的人所知。反之亦然;
禁用秘密聊天中的链接和图像预览(在“隐私和安全”部分中向下滚动;
您现在可以使用 TON 购买 Telegram Premium 订阅(也包括号码和用户名): fragment.com/premium ;
切勿激活(通过/start )任何电报机器人!甚至不要碰 Telegram 机器人(只有公共聊天机器人才被认为是安全的,您可以通过命令在公共聊天中操作它们),切勿对 Telegram 机器人进行 DM! (任何按钮都可能包含 SQLi 漏洞,甚至更糟);
如果您必须打开PDF(例如简历),请使用dangerzone.rocks或googledrive预览机制(要求上传);
如果您收到有关登录帐户的消息 -检查它是否位于合法的电报通知和新闻频道上。骗子可以冒充此通知渠道,强迫您向他们提供短信中的 OTR 代码;
要登录 Telegram,请使用不同的电话号码(甚至虚拟电话号码),而不是您的实际手机号码。但是,如果您使用一次性号码,其他人可能会访问您的帐户。要隐藏您的 IP 地址,请使用VPN (Telegram 可以应执法官员的要求提供 VPN);
查看此列表并遵循Telegram 提示;
需要有一个单独的安全设备和一个帐户登录的应用程序;
有必要定期检查登录帐户的应用程序的工作情况以及带有服务通知的聊天。至少每五天一次;
登录帐户的设备越多,帐户被盗的风险就越高。此外,登录设备是确保Telegram帐户安全的工具;
任何人都可能成为大规模虐待的受害者。您应该发送一封信至abuse@telegram.org/联系支持代理+42470 (将此电话添加到联系人);
接下来,填写此表格telegram.org/support ;
自动检测对 Telegram 官方网站、客户端ETC所做的更改;
最后的评论
当我们在复杂的数字世界中前进时,保护我们的在线帐户安全的需求始终存在。刻意努力加强您的 Telegram 帐户是维护安全通信完整性、保护个人数据和隐私的一项主动措施。
如果您想支持我的工作,请考虑捐赠我:
4AhpUrDtfVSWZMJcRMJkZoPwDSdVG6puYBE3ajQABQo6T533cVvx5vJRc5fX7sktJe67mXu1CcDmr7orn1CrGrqsT3ptfds —MoneroXMR
更多地址: github.com/OffcierCia/support 。
总而言之,保护您的 Telegram 帐户至关重要,并且需要对安全、隐私和良好的数字公民做出更大的承诺。我们通过加强我们的账户,积极为开发更安全的虚拟环境做出贡献,维护诚信、隐私和信任。
