تلگرام یکی از محبوب‌ترین پیام‌رسان‌ها میان کاربران ایرانی است و میلیون‌ها نفر از آن برای ارتباطات شخصی، کاری و حتی انجام فعالیت‌های تجاری استفاده می‌کنند. همین محبوبیت باعث شده امنیت تلگرام و سرقت حساب تلگرام به یکی از مهم‌ترین دغدغه‌های کاربران و کارشناسان امنیت سایبری تبدیل شود. در تازه‌ترین هشدار امنیتی، پژوهشگران از شناسایی بدافزاری خبر داده‌اند که می‌تواند بدون نیاز به رمز عبور یا کد تأیید، کنترل حساب تلگرام کاربران را در اختیار هکرها قرار دهد.

بررسی‌های انجام‌شده نشان می‌دهد این حمله از طریق یک اسکریپت مخرب مبتنی بر PowerShell انجام می‌شود؛ اسکریپتی که خود را به‌عنوان یک به‌روزرسانی عادی ویندوز معرفی می‌کند اما در واقع برای سرقت اطلاعات ورود کاربران به تلگرام طراحی شده است.

بدافزاری که خود را به‌روزرسانی ویندوز جا می‌زند

به گفته پژوهشگران امنیت سایبری، مجرمان سایبری این بار از یک اسکریپت PowerShell با نام فریبنده  Windows Telemetry Update  استفاده کرده‌اند؛ نامی که در نگاه نخست شبیه یکی از فرآیندهای معمول به‌روزرسانی ویندوز به نظر می‌رسد.

این اسکریپت در حقیقت یک بدافزار سرقت اطلاعات (Infostealer) است که با هدف دسترسی به داده‌های مربوط به نشست‌های فعال تلگرام طراحی شده و اطلاعات جمع‌آوری‌شده را از طریق یک ربات تلگرام برای مهاجمان ارسال می‌کند.

پوشه tdata؛ نقطه اصلی حمله به حساب تلگرام

بررسی کد این اسکریپت نشان داده است که هدف اصلی آن دسترسی به پوشه tdata در نسخه دسکتاپ تلگرام است؛ پوشه‌ای که اطلاعات مربوط به احراز هویت و نشست‌های فعال کاربران در آن ذخیره می‌شود.

در صورتی که مهاجم به این اطلاعات دست پیدا کند، می‌تواند بدون وارد کردن رمز عبور یا دریافت کد تأیید، وارد حساب تلگرام قربانی شود. این دسترسی نیز تا زمانی ادامه خواهد داشت که کاربر نشست‌های فعال حساب خود را بررسی کرده و اتصال مشکوک را به‌صورت دستی قطع کند.

بدافزار چگونه حساب تلگرام را سرقت می‌کند؟

فرآیند حمله با اجرای اسکریپت PowerShell روی رایانه قربانی آغاز می‌شود. این برنامه ابتدا اطلاعات اولیه سیستم از جمله نام کاربری، نام رایانه و آدرس عمومی IP را جمع‌آوری می‌کند.

در مرحله بعد، وجود نسخه دسکتاپ تلگرام روی سیستم بررسی می‌شود. اگر این برنامه نصب باشد، اسکریپت آن را به‌اجبار می‌بندد تا بتواند به فایل‌های داخلی آن دسترسی پیدا کند.

سپس تمام محتوای پوشه tdata در قالب یک فایل فشرده ذخیره شده، برای مهاجمان ارسال می‌شود و در نهایت فایل ایجادشده از روی رایانه حذف می‌شود تا اثری از عملیات باقی نماند.

آیا این بدافزار تاکنون کاربران را آلوده کرده است؟

با وجود قابلیت خطرناک این بدافزار، کارشناسان اعلام کرده‌اند تاکنون هیچ شواهدی مبنی بر انتقال واقعی اطلاعات کاربران مشاهده نشده است.

به اعتقاد پژوهشگران، این ابزار هنگام کشف هنوز در مرحله آزمایش اولیه قرار داشته و به‌صورت گسترده مورد استفاده قرار نگرفته بود.

یکی از نشانه‌های این موضوع، نام غیرحرفه‌ای ربات تلگرامی مورد استفاده در این عملیات بود که با شناسه‌ای موقت فعالیت می‌کرد و حتی در توضیحات آن عبارت صریح «Telegram attacker» درج شده بود؛ موضوعی که نشان می‌دهد این ابزار هنوز وارد مرحله بهره‌برداری گسترده نشده است.

اسکریپت‌های PowerShell چگونه وارد رایانه کاربران می‌شوند؟

کارشناسان امنیت سایبری هشدار می‌دهند اسکریپت‌های PowerShell معمولاً از طریق فایل‌های پیوست آلوده در ایمیل‌ها، دانلود نرم‌افزار از وب‌سایت‌های نامعتبر، سواستفاده از آسیب‌پذیری‌های نرم‌افزاری و همچنین حملات مهندسی اجتماعی وارد رایانه کاربران می‌شوند.

به همین دلیل توصیه می‌شود کاربران تنها از منابع رسمی برای دانلود نرم‌افزار استفاده کنند، نسبت به لینک‌ها و فایل‌های پیوست ایمیل‌ها حساس باشند و سیستم‌عامل و نرم‌افزارهای خود را همواره به آخرین نسخه به‌روزرسانی کنند.

چگونه امنیت حساب تلگرام را افزایش دهیم؟

کارشناسان برای جلوگیری از هک تلگرام و سرقت حساب تلگرام چند توصیه مهم ارائه کرده‌اند.

نخست اینکه کاربران باید به‌صورت دوره‌ای فعالیت حساب خود را بررسی کنند و در صورت مشاهده پیام‌ها یا گفت‌وگوهای ناشناس، احتمال دسترسی افراد دیگر به حساب را جدی بگیرند.

همچنین اگر احتمال می‌دهند حسابشان در معرض نفوذ قرار گرفته است، باید از مسیر Settings → Devices → Terminate all other sessions  تمامی نشست‌های فعال دیگر را فوراً خاتمه دهند.

به‌گفته کارشناسان، اگر مهاجمان موفق به ورود به حساب شده باشند، کاربران تنها حدود ۲۴ ساعت فرصت دارند تا با پایان دادن به نشست‌های فعال، دسترسی هکرها را قطع کنند.

فعال‌سازی تأیید دومرحله‌ای؛ مهم‌ترین راهکار افزایش امنیت تلگرام

متخصصان امنیت سایبری همچنین توصیه می‌کنند کاربران قابلیت Two-Step Verification یا تأیید دومرحله‌ای تلگرام را فعال کرده و برای حساب خود یک رمز عبور قوی و منحصربه‌فرد تعیین کنند.

آن‌ها همچنین استفاده از فناوری Passkey را به‌عنوان جایگزینی امن‌تر برای رمزهای عبور سنتی پیشنهاد می‌کنند؛ قابلیتی که در برابر حملات فیشینگ و افشای اطلاعات مقاومت بیشتری دارد.

کارشناسان تأکید می‌کنند با توجه به افزایش روش‌های پیچیده سرقت حساب تلگرام، تنها داشتن رمز عبور کافی نیست و رعایت اصول امنیت سایبری، به‌روزرسانی مداوم نرم‌افزارها و نظارت بر نشست‌های فعال حساب، مهم‌ترین راهکار برای محافظت از حساب‌های کاربری محسوب می‌شود.

اگر تلگرام‌مان هک شد چه کنیم؟

 تلگرام قابلیتی امنیتی در نظر گرفته که اجازه نمی‌دهد دستگاهی که به‌تازگی وارد حساب شده، تا ۲۴ ساعت سایر نشست‌های فعال را از حساب خارج کند. همین بازه زمانی، تنها فرصت کاربر برای بازپس‌گیری حساب است؛ زیرا پس از پایان ۲۴ ساعت، مهاجمان می‌توانند تمام نشست‌های فعال را خاتمه دهند و مالک اصلی را به‌طور کامل از حساب خود خارج کنند.

اولین اقدام، پایان دادن به تمام نشست‌های ناشناس است. این کار باعث می‌شود تمام دستگاه‌های متصل به حساب، به‌جز دستگاهی که هم‌اکنون از آن استفاده می‌کنید، از حساب خارج شوند و دسترسی مهاجمان قطع شود. کارشناسان همچنین توصیه می‌کنند کاربران قابلیت خاتمه خودکار نشست‌های غیرفعال را نیز فعال کنند تا دستگاه‌هایی که برای مدتی استفاده نشده‌اند، به‌طور خودکار از حساب خارج شوند.

اگر دسترسی شما به حساب به‌طور کامل قطع شده باشد، همچنان می‌توان با استفاده از شماره تلفن و دریافت کد پیامکی (SMS)، برای بازیابی حساب اقدام کرد؛ البته این روش تنها در صورتی موفق خواهد بود که مهاجمان هنوز کنترل کامل حساب را در اختیار نگرفته باشند. در غیر این صورت، کاربران باید از طریق پشتیبانی رسمی تلگرام درخواست خود را ثبت کنند.

کارشناسان همچنین هشدار می‌دهند اگر بازیابی حساب امکان‌پذیر نباشد، آخرین راهکار حذف حساب قدیمی و ایجاد یک حساب جدید با همان شماره تلفن است؛ اقدامی که البته به قیمت از دست رفتن دائمی تاریخچه گفت‌وگوها، فایل‌ها و دسترسی مدیریتی به کانال‌ها و گروه‌ها تمام خواهد شد. به همین دلیل، فعال کردن قابلیت تأیید دومرحله‌ای (Two-Step Verification) و تعیین یک رمز عبور قدرتمند، همچنان مهم‌ترین راهکار برای جلوگیری از سرقت حساب تلگرام محسوب می‌شود.