Introduzione ed una piccola guida alla sicurezza di Telegram

Buongiorno (o buona sera) a tutti,

Sono Fabrizio Di Carlo, Italiano, vivo all’estero da diverso tempo (oltre 10 anni, in diversi stati europei), laureato alla UCD (University College Dublin) con un M.Sc. in Informatica Forense ed Investigazioni Digitali al momento in Germania [1]. Sono qui su Fufflix, prima di tutto per supportare Germano, ma soprattutto per supportare le persone che purtroppo cascano in tutte queste truffe di presunti guru.

Oltre al mio lavoro principale in sicurezza informatica, ho da poco lanciato un side hustle che si occupa di sicurezza in ambito web3, per darvi piu’ contesto, sono scettico anche io su tutto quest’ambito ma vedendo persone che ci investono, e che questi argomenti sono in giro da 10 anni, ho pensato di voler dare il mio contributo (evitero’ di menzionare il nome della startup per evitare commenti che sto usando questo post come forma di pubblicita’, non e’ assolutamente mia intenzione).

Dopo questa introduzione, volevo usare quest’occasione per dare qualche suggerimento all’uso di Telegram. In un’epoca dominata dalla comunicazione digitale, le piattaforme di messaggistica (Telegram, WhatsApp, Signal, etc) sono diventate parte integrante della nostra vita personale e professionale. Tuttavia, la comodità della messaggistica istantanea comporta la responsabilità di salvaguardare le nostre conversazioni. Telegram in particolare viene usato molto nelle varie community relative a progetti Web3, e Certik, una società di sicurezza specializzata in criptovalute, ha pubblicato, oltre il 40% dei Token Bot di Telegram potrebbero essere truffe [3].

Qui, una serie di accorgimenti per essere piu’ tranquilli su TG, cerchero’ di mettere gli screenshots delle varie impostazioni questa sera:

Le basi:

  • Controllate attentamente la biografia del contatto (biografia, foto profilo) perché un truffatore può inserire qualsiasi nickname nella sua biografia e lasciare il proprio nickname vuoto [4] [5];
  • Le notifiche di Telegram dovrebbero arrivare nel canale ufficiale di Telegram, attenzione non sia un bot con un link di phishing, ai falsi bot (sì, anche i bot possono mandare DM) e così via [6];

Crittografia delle chat
E’ bene ricordare che a differenza di quanto si pensi, le chat di Telegram non sono crittografate end-to-end (ossia dal mio smartphone allo smartphone della persona con cui chatto):

We support two layers of secure encryption is used in Cloud Chats (private and group chats) [7] [8]

Solamente con l’opzione Secret Chat [9] si ha crittografia end-to-end.

Impostazioni

  • Numero di telefono: Chi può vedere il mio numero di telefono - Nessuno.
  • Dati e memoria: Download automatico dei media → Disattivare
  • Numero di telefono: Chi può trovarmi con il mio numero - I miei contatti.
  • Ultima connessione e online: Chi può vedere il mio orario - Nessuno.
  • Foto profilo: Chi può vedere la mia foto profilo - I miei contatti.
  • Chiamate: Chi può chiamarmi - I miei contatti (o Nessuno, se preferite).
  • Chiamate: Peer-to-peer - I miei contatti (o Nessuno, se si preferisce non condividere il proprio indirizzo IP con i partner di chat).
  • Quando si avvia la chiamata, in alto (sopra il nome) compaiono quattro emoji: chiedete alla persona che state chiamando di nominarle e di confrontarle con le vostre (dovrebbero essere uguali alle vostre). Si tratta di una protezione da attacchi Man in the Middle (MitM, Persona 1 - Attaccante - Persona 2).
  • Messaggi inoltrati: Chi può aggiungere un link al mio account quando inoltro i miei messaggi - I miei contatti.
  • Non aggiungete mai contatti a Telegram (se ce ne sono, cancellateli) e usate sempre una VPN (se possible).
  • Gruppi e canali: Chi può aggiungermi - I miei contatti.
  • Impostare 2FA (autenticazione a 2 fattori, la password ed un numero generato random)!
  • Disattivare l’animazione degli adesivi in loop! Adesivi animati =rischio [10]
  • Disattivare il download automatico (sia wi-fi che cellulare): Privacy e sicurezza → Impostazioni dati;
  • Disattivate le chiamate P2P per tutti perché potrebbero esporre il vostro indirizzo IP! Lo stesso vale per le chat segrete! La crittografia End-to-End significa che il vostro IP diventerà noto alla persona con cui state chattando (e viceversa) [11]
  • Disattivate le anteprime dei link e delle immagini nelle chat segrete (scorrete in basso nella sezione Privacy e sicurezza!
  • Disattivate l’autoplay delle GIF! [12]
  • Non attivare mai (tramite /start) alcun bot di Telegram [13]! Non toccate nemmeno i bot di Telegram (solo i bot delle chat pubbliche sono considerati sicuri, potete utilizzarli in una chat pubblica tramite comandi), non fate mai da DM a un bot di Telegram! (qualsiasi pulsante può contenere una vulnerabilità SQLi o anche peggio)!
  • Se dovete aprire un PDF (ad esempio un CV), usate dangerzone.rocks o l’anteprima di Google Drive (chiedete di caricarlo)!
  • Attenzione alle sessioni attive! Chiudere le sessioni inattive!

Oltre a questi accorgimenti pratici, vige ovviamente il buon senso, il non date confidenza agli sconosciuti e non accettate caramelle dagli sconosciuti vale anche su Internet.

Sperando di aver fatto cosa gradita, un saluto da Francoforte,
Fab

Riferimenti:
[1]: Fabrizio Di Carlo - Avanade | LinkedIn
[2]: Why crypto fans love Telegram despite the app rejecting decentralization
[3]: Crypto Security Firm Certik Warns Over 40% of Telegram Bot Tokens May be Exit Scams
[4]: How Not to Get Hacked on Telegram | by Immunefi | Immunefi | Medium
[5]: Top-7 Social Engineering Frauds in Crypto - Hacken
[6]: https://twitter.com/officer_cia/status/1569951983271907328
[7]: Telegram FAQ
[8]: MTProto Mobile Protocol
[9]: End-to-End Encryption, Secret Chats
[10]: Shielder - Hunting for bugs in Telegram's animated stickers remote attack surface
[11] 'Hacker' obtains OTP via help chat, activates Circles.Life user's eSIM & logs into her e-commerce accounts - Mothership.SG - News from Singapore, Asia and around the world
[12]: Protecting Yourself Against Telegram Scams and Securing your Telegram Account
[13]: Telegram OSINT VM Part 2 - OSINT, OPSEC, Privacy, Infosec, & Digital Exposure Profiling

13 Mi Piace

Grandissimo @fdicarlo.

Contributo molto utile ed apprezzatissimo. Appena possibile te lo condivido su tutto il network perché merita sul serio tanto. E spero che in tanti altri lo commenteranno e rilanceranno.

Grazie infinite

3 Mi Piace

Grazie Germano, mi fa piacere il post sia piaciuto ma soprattutto possa essere utile alla comunita’.

E’ stato scritto un po’ di fretta, tra una call, l’audit di un protocollo e il cambio pannolini :smiley: se posso aiutare con altri topic piu’ tecnici/tecnologici sono a disposizione

1 Mi Piace