如何警惕与防范Telegram盗号

作者：

时间：1900/1/1 0:00:00

近期，跨平台的即时通讯软件Telegram盗号事件频发，不法分子通过非法手段盗取用户Telegram账号，并以冒充好友的方式进行。

针对近期的盗号事件，Beosin 安全研究部为大家梳理了Telegram 常见的方式，教大家如何警惕与防范。

最近比较新颖的盗号，者冒充好友的身份以各种理由取聊天页面截图，看似毫无危险，但此刻子正在尝试利用你的手机号码登陆 Telegram，当发送的截图页面包含了官方发送的登陆验证码（Login code），即会被子利用成功登陆你的 TG 账号。取详细流程如下：

1.首先获取你 TG 账号的电话号码。

如果你的 TG 账号隐私设置成任何人可见，则会被陌生账号看到手机号码；或是子首先获取到你好友的账号，然后查询到你的手机号。

2.取登陆验证码。

子以各种理由，告诉你账号有问题，取你的聊天截图。同时，子在一台新设备输入你的手机号码尝试登陆。

例如以下两种话术类型：

（1 ）聊天界面中有两个相同的联系人：当对某个联系人开启了加密聊天时，聊天列表就会出现两个相同的联系人，如下图加密的聊天通信会在名字前加一把锁。

SAFE空投仍有超3200万枚未被领取，SafeDAO正讨论如何分配该部分代币:12月29日消息，随着12月27日申领期结束，Gnosis Safe分配给用户的SAFE Token空投中仍有超过3200万枚未被领取。

SafeDAO正在讨论如何处理来自未领取的用户空投分配，目前方案包括：

1. 将该部分Token按比例分配给已经领取空投的用户，这将是已领取空投的1万名社区成员分配数量的三倍，但会考虑添加更长的归属期；

2. 使用该部分Token奖励加密社区的贡献者；

3. 保留在SafeDAO中；

4. 混合上述三种选项，其中的15%进行第二轮空投、15%作为开发者的奖励、70%保留在SafeDAO。[2022/12/29 22:14:58]

（2 ）好友辅助解封账号：子称账号被官方限制，需要好友发送验证码帮忙解封账号。

3.登录你的账号继续。

当你在不经意间把包含登陆验证码的聊天截图发给对方时，如果账号没开启两步验证，子则可以通过验证码直接登陆你的账号。随后子会删掉所有的设备，更改密码，然后继续通讯录中的其他人。

波卡社区正在讨论如何限制验证者大幅更改佣金:刚刚，Web3基金会技术教育主管Bill Laboon发推提醒用户小心局。Web3基金会、Polkadot官方以及Parity都没有赠送DOT和KSM代币。与此同时，Bill Laboon还公布波卡项目进展。内容显示：1.目前验证者可以随意更改佣金比例。目前社区正在讨论如何限制佣金变动以避免佣金大幅变动，例如在获得足够多的提名者后，将佣金由0%改为100%。2.财政部已经开始讨论Elara 0.2提案。Elara 0.2是Patract Labs是为以Substrate为基础的链提供的基础设施。[2020/10/29]

短信冒充Telegram 官方账号，声称该用户的 TG 账号违反了账号使用规则将被限制使用，需要登陆网站解除受限。如果用户不慎点击链接，账户就会被盗。

由于 Telegram 没有中文安装包，普通用户通常会使用第三方搜索引擎来查找对应的中文安装程序，因此分子通过 SEO 优化为自己的 Telegram 中文版下载网站引流，诱导用户下载排名前列的应用程序。

大咖零距离 | 行情巨震如何合理配置币圈资产:3月30日16:00，由金色盘面主办、BTSE交易所独家赞助的《大咖零距离》正式开播。届时BTSE联合创始人/CPO BrianWong，将在《大咖零距离》直播间分享《行情巨震，如何合理配置币圈资产》，敬请关注，欲进群观看直播扫描海报二维码报名即可！[2020/3/30]

当用户下载使用了带有后门的 TG 程序，会被自动检测聊天中的区块链地址，并且当检测到用户聊天消息中的钱包地址时，会将钱包地址替换成分子自己的地址，造成用户资金损失。

如下案例中，用户在 http://www.telegram-china.org（目前已失效）链接下载一个中文版的客户端，然后通过这个中文版发送一个 trx 的钱包地址：

Beosin 测试结果

此时，发送的钱包地址为：TNpEa 9 PoqWsoPcTdTqUUdrYJbqhVLoSVFh

然后关闭软件重新打开发现钱包地址被替换为另外一个地址。

布鲁金斯学会：全球监管机构之间没有就如何处理加密货币达成协议:据福布斯消息，布鲁金斯学会昨日发布关于央行和加密货币的研究报告。报告指出，世界各地的银行监管机构并未采取统一的方式来规范加密货币。该报告还指出，目前的大型经济体中，没有任何一个国家的央行认真考虑是否推出自己的加密货币。然而，美联储、日本央行、加拿大央行、英国央行和欧洲央行均表示正在评估央行加密货币的利与弊。研究表明，央行领导人目前主要对于加密货币潜在的逃税和可能表示担心。[2018/4/18]

前段时间某 TG 汉化频道（https://t.me/zh_CN_Telegram_zh_CN_CN_zh_ch_zn）被曝光是仿冒频道，真正的简体中文语言包维护频道是 https://t.me/zh_CN，因缺乏人员支持目前翻译工作已停止。该仿冒频道被曝光时有近八十万的关注者，其传播的语言包是一个带有后门的安装文件。

安全人员分析该语言包文件是一个下载器，运行后会下载各种模块并尝试绕过安全软件的检测。除此之外，该样本使用了检测鼠标移动等方式绕过沙箱分析。

芝加哥商品交易所集团就比特币期货将如何推出做了更为具体的解释:芝加哥商品交易所集团的股权产品负责人蒂姆-麦考特在接受外媒采访时表示：“交易所已经采取了保护措施，如更高的保证金水平、限制头寸和价格以抑制它即将推出的比特币期货的风险。”随后芝加哥商品交易所还阐述了三个层面的细节即交易、市场数据和双边市场的缺乏。[2017/12/3]

国外安全研究员发现，有犯罪组织利用 Telegram 机器人窃取用户 OTP 令牌和 SMS 验证码以完成 2 FA（双因素身份验证）。攻击者使用 Telegram 机器人获取帐户信息，包括致电受害者、冒充银行和合法服务等。通过社会工程，攻击者还人们通过移动设备向他们提供 OTP 或其他验证码，然后子用这些代码来取用户账户中的资金、密码、会话 cookie、登录凭据和信用卡详细信息。

者冒充 Telegram 上的加密货币专家，宣传对加密货币投资有回报的承诺。者会通过 Twitter 评论，或直接在 Telegram 上与你联系，声称能够为你提供高额的投资回报。

如果参与，者会要求你在他们的特殊加密货币交易所开设一个账户。届时，他们会向你展示表明你的投资正在增加的图表，但是当你试图取出你的收入时，子连同你的账户就会消失。

针对 Telegram 的安全使用，避免被盗和资金损失，我们提出了以下参考建议。

为了账号安全，及时设置两步验证密码。该密码只会在新登录 Telegram 时被要求输入。

打开 Setting（设置）> Privacy and Security（隐私和安全）> Two-step Verification（两步验证）进行设置，并建议在后续步骤中设置安全邮箱，目的是在忘记两步验证密码的情况下，可以通过安全邮箱进行重置密码。

检查自己的软件下载途径，如果是网页搜索下载的安装包，建议直接卸载后去官网重装。第三方客户端有能力获取和控制你的账户，读取你全部的聊天记录，收集你设备的可识别信息，安全起见，务必通过 Telegram 官网下载使用软件。

谨慎使用电报机器人服务，不泄露个人数据，包括姓名、用户名、手机号、电子邮件地址、密码数据或可用于识别您身份的任何信息。

陌生人私聊不要轻易相信，提高警惕，避免造成资金损失或被盗取信息，如果被打扰可以选择屏蔽；收到的陌生文件、链接不轻易点击。

发送钱包地址与对方多次沟通验证；以截图钱包二维码的形式向对方发送钱包地址，对方通过扫码识别钱包地址。

定期查看设备 IP 登陆状态，对有异常登录的设备 IP 强制下线。

Telegram 只有 Contact(联系人)，没有“好友”的说法。添加和删除联系人是单向操作，即你添加或删除某个联系人，并不会导致你在对方联系人列表中被添加或者被删除。因此注意在添加联系人时，取消 Share My Phone Number (分享我的手机号码)，该选项会被默认勾选。

在设置–>隐私与安全中选择设置隐藏手机号、上线状态、头像、转发消息等；设置账号不被非好友拉入陌生群，减少被概率；不使用 Telegram 附近的人功能。

同时，为了防范 Telegram、Twitter 等平台的“冒充”，Beosin 官网目前上线了安全验证功能。

客户可以输入与您联系的Beosin的员工名片信息，如果通过验证，那就是安全的。

相反，如果不通过，那可能您遇到的是冒充 Beosin 员工的子，大家要多加防范。

好了，今天的安全分享就结束了，我们下期再见。

Beosin 是一家全球领先的区块链安全公司，在全球 10 多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品+服务，目前已为全球 2000 多个区块链企业提供安全技术服务，审计智能合约超过 3000 份，保护客户资产高达 5000 多亿美元。

原文：Beosin

来源：星球日报

Odaily星球日报

媒体专栏

阅读更多

金色早8点

金色财经

Arcane Labs

欧科云链

澎湃新闻

深潮TechFlow

MarsBit