هک تلگرام: نحوه جلوگیری از هک شدن تلگرام

آیا تلگرام قابل هک شدن است؟ هک تلگرام چگونه انجام می‌پذیرد؟ چگونه از هک شدن تلگرام خود جلوگیری کنیم؟ هر آنچه که درباره هک تلگرام باید بدانید.

تلگرام چقدر امن است؟

تلگرام (Telegram) یکی از امن ترین برنامه‌های پیام رسان موجود است؛ از واتس‌اپ (WhatsApp)، لاین (Line)، تانگو (Tango) و از بسیاری دیگر از پیام رسان‌های رایج امنیت بیشتری دارد. تلگرام برای رمزگذاری اطلاعات بین کلاینت (برنامه) و سرور خود از پروتکلی به نام MTProto استفاده می‌کند که خود تشکیل یافته از یه الگوریتم رمزگذاری AES با ۲۵۶ بیت، RSA با ۲۰۴۸ بیت و Diffie-Hellman key exchange است. الگوریتم‌های ذکر شده به قدری امن و مستحکم هستند که یک متن رمزگذاری شده با آن‌ها به همراه یک کلید خاص، می‌تواند تا قرن‌ها برای رمزنگاری آن زمان ببرد. از این رو اطلاعات بین کلاینت و سرور قابل رمزنگاری نبوده و هیچ حمله مرد میانی (Man-In-The-Middle یا MitM) این ارتباط را تهدید نمی‌کند. درمورد سایر موارد امنیتی، تلگرام دو حالت چت با امنیت متفاوت دارد که عبارت اند از:

چت‌های عادی

چت‌های عادی شامل هرگونه تبادل داده به غیر از حالت چت‌های پنهانی (Secret Chats) مانند گفتگو در کانال‌ها، گروه‌ها و گفتگوهای عادی است. در این گونه چت‌ها با این که ارتباط بین کلاینت و سرور توسط پروتکل MTProto رمزگذاری می‌شود. با این که متن به فرد مورد نظر تحویل داده می‌شود، یک کپی از محتوای اصلی یا خام نیز در سمت سرور ذخیره می‌شود.

این محتوای کپی برداری شده به کل سیستم تلگرام امکان ایجاد گروه‌هایی با چندین کاربر، کانال‌هایی با چندین کاربر یا فوروارد کردن پیام‌ها را می‌دهد. چون اگر دقت کنید، در این گونه چت‌ها فقط دو نفر نیستند که پیام بین آن‌ها رد و بدل می‌شود. به دلیل کپی شدن این اطلاعات، بازیابی و مشاهده آن‌ها علاوه بر طرفین گفتگو، در سمت سرور نیز انجام پذیر است.

چت‌های پنهانی

چت‌های پنهانی یا Secret Chat قابلیتی است که در اکثر کلاینت (برنامه) های تلگرام وجود دارد. با استفاده از این قابلیت که تنها بین دو نفر و نه یک گروم، کانال و … انجام می‌پذیرد، همه اطلاعات رد و بدل شده کاملاً پنهان باقی مانده و به غیر از طرف گفتگو، کسی (حتی سرورها تلگرام) از متون ارسال شده با خبر نمی‌شود. به همین دلیل امکان فوروارد کردن آن‌ها نیز وجود نخواهد داشت؛ فقط طرفین گفتگو!

روش کار در سکرت چت به این صورت است که طبق معمول داده‌ها بین سرور و کلاینت با پروتکل MTProto رمزگذاری می‌شوند حال آن که یک لایه امنیتی دیگر به متن ارسال شده اصلی اضافه می‌شود که آن را با یک کلیدی که دو طرف گفتگو باید آن را با یکدیگر به اشتراک بگذارند، یک بار دیگر رمزگذاری می‌کند. داده‌ها پس از ارسال به سرورهای تلگرام، مستقیماً و بدون ثبت شدن هیچ اطلاعاتی در سمت سرور، به گیرنده تحویل داده می‌شود. توجه کنید که حتی اگر این اطلاعات ذخیره نیز شوند، چون کلید اصلی رمزگذاری تنها بین دو طرف گفتگو به اشتراک گذاشته شده، خواندن آن‌ها در سمتی به غیر از این دو (مثلاً سرور) غیرممکن خواهد بود.

در نتیجه …

امکان هک کردن تلگرام به صورتی که بسیاری از افراد فکر می‌کنند، وجود ندارد. همه اطلاعات رد و بدل شده رمزگذاری می‌شوند پس نمی‌توانیم هیچ پیام جعلی‌ای را از سمت یک کاربر حقیقی دیگر بفرستیم یا پیام‌های وی را مشاهده کنیم و یا به اطلاعات او دسترسی داشته باشیم.

نکته: امنیت ۱۰۰% هیچ معنی‌ای ندارد. تلگرام با این همه امنیت هم حتماً دارای حفره‌هایی است که ممکن است تا بحال کشف نشده باشد.

پس هک تلگرام چگونه انجام می‌پذیرد؟

همانطور که توضیح دادیم، هک کردن سرور‌ها و سیستم تلگرام توسط افرادی به غیر از متخصصان عالی رتبه امنیتی امکان پذیر نمی‌باشد (هرچند احتمال آن هم کم است). با این حال روزانه می‌بینیم که افراد زیادی هک شده و نفوذگران به حسابشان دسترسی پیدا می‌کنند. در اینجا باید به فاکتورهای زیر توجه داشته باشیم:

کد تایید هویت و مهندسی اجتماعی

اگر وارد حساب کاربریتان شوید در ابتدا از شما یک کد تایید هویت درخواست می‌شود که از طریق پیامک (SMS) به شماره موبایل شما ارسال می‌شود. تلگرام با استفاده از این کد، هویت شما را تایید کرده و به این ترتیب می‌فهمد که فردی که پشت گوشی درخواست ورود به حساب تلگرام را کرده است، همان کسی است که صاحب آن شماره است.

حال فرض کنید کس دیگری درخواست ورود به حساب شما را بکند. در این صورت یک اس‌ام‌اس به گوشی شما فرستاده خواهد شد. اگر شما این کد را به همان فرد بدهید، اون بدون هیچ مشکلی به حساب شما وارد خواهد شد! به همین راحتی!

روشی که هکر چگونه کد را از شما می‌گیرد، مهندسی اجتماعی نامیده می‌شود؛ همان “گول زدن یا فریب دادن” خودمان. چگونه؟ مثلاً هکر درخواست ورود به حساب شما را می‌دهد. در این لحظه، یک پیامک به شما حاوی کد امنیتی برای تایید هویت فرستاده خواهد شد. هکر بدون داشتن این کد قادر به ورود به حسابتان نخواهد بود. بنابراین درصدد دریافت این کد از شما می‌افتد. وی با ارسال متون فریبنده سعی می‌کند این کد را از شما دریافت کند.

هکر با جا زدن خود به عنوان فردی از طرف تلگرام (مثلاً با انتخاب اسمی مثل Telegram Police) اعتماد قربانی را جلب کرده و با ارسال پیامی مثل متنون زیر از طریق خود تلگرام، پیامک، ایمیل یا حتی سایت‌ها، وی را مجبور به ارسال کد می‌کند:

کاربر عزیز، اکانت شما تا دو روز دیگر مسدود خواهد شد. برای جلوگیری از انسداد اکانت خود، کد پنج رقمی‌ای که برایتان پیامک کرده‌ایم را بفرستید.

نمونه دیگر از پیام‌هایی که متاسفانه اکثر کاربران را فریب می‌دهد:

سلام کاربر گرامی
به اطلاع رسیده است که حساب کاربری شما به دلیل استفاده نادرست حذف خواهد شد برای جلوگیری از حذف شدن کارهای زیر را انجام دهید :
۱- ابتدا شماره تلگرام خود را برای ما ارسال کنید
۲- سپس ربات دیگر ما برای شما کدی را ارسال میکند آن کد را کپی کرده و برای ما بفرستید تا از حذف شدن اکانت خود جلوگیری کنید

نمونه دیگر از پیام‌هایی که متاسفانه اکثر کاربران را فریب می‌دهد:

سلام کاربر گرامی
به اطلاع رسیده است که حساب شما موقتا دچار مشکل شده. از شما میخواهیم برای بازگردانی حساب خود رمز۵رقمی ارسال شده را برای ما ارسال کنید
۱- ابتدا شماره تلگرام خود را برای ما ارسال کرده
۲- سپس سرورهای ما از طریق پیام کوتاه برای شما کد ۵ رقمی ارسال میکند ان کد را برای ما بفرستید تا از حذف شدن اکانت خود جلوگیری کنید.
با تشکر. تیم پشتیبانی تلگرام

اگر به نحوه نگارش متون بالا دقت کنید، می‌بینید به طوری تنظیم شده اند که کاربر را ترسانده و با فریب دادن وی کد تایید هویت را بگیرند. برای جلب توجه و اعتماد کاربر، معمولاً از عباراتی مثل “تیم پشتیبانی تلگرام” و … استفاده می‌کنند و با ارسال یک متن انگلیسی ترجمه شده متن فارسی، کاربر را بیشتر وادار به ارسال کد می‌کنند و در نهایت با انتخاب اسامی‌ای مثل Telegram، Telegram Support و … و استفاده از لوگوی تلگرام، کاربران ساده را بســــــــــــــــــــــیار ساده گول زده و کدشان را دریافت می‌کنند.

چگونه از مهندسی اجتماعی در امان باشیم؟

برای جلوگیری از هک شدن تلگرام خود باید نکاتی را در نظر داشته باشید:

• بدانید که مهندسی اجتماعی بیش از آنچه که فکر می‌کنید می‌تواند فریبنده باشد. نمونه‌های بالا تنها مواردی است که توسط هکرهای آماتور طراحی شده اند.
• به هیچ یک از این پیام‌ها توجه نکنید!
• کد تایید هویت را فقط هنگام ورود به تلگرام وارد کنید.
• پیام‌های فریبنده نه تنها در تلگرام بلکه به صورت پیامک، ایمیل و … نیز ارسال می‌شوند یا حتی ممکن است آن را در یک سایت ببینید!
• بدانید که اکانت رسمی تلگرام دارای یک تیک در انتهای نام “Telegram” است. این علامت نه در تصویر بلکه در آخر نام است. بقیه اکانت‌ها اکثراً برای گول زدن ساخته شده اند. حتی اکانت رسمی تلگرام هم به شما پیام ارسال نمی‌کند مگر در مواقع خاص مثل آپدیت کردن برنامه و … .

برنامه‌های به اصطلاح هکر!

در سر تا سر اینترنت تبلیغات گوناگونی را تحت عنوان “برنامه هک تلگرام”، “نحوه هک کردن تلگرام با برنامه”، “دانلود هکر تلگرام”، “هک تلگرام بدون کد” و … مشاهده خواهید کرد که با عناوینی مثل “هک ۱۰۰% تضمینی”، “هک واقعی”، “هک عملی” و … کاربران را فریب می‌دهند. هـــــــیچ یک از این برنامه‌ها تلگرام دوستتان را هک نخواهد کرد بلکه برعکس، خودتان در معرض هک شدن قرار خواهید گرفت!

فروشندگاه این برنامه‌ها پس از دریافت پول یا به صورت رایگان، در بهترین و خوشبینانه ترین حالت، هیچ چیزی تحویل شما نخواهند داد! 😀 حال کمی دیدمان را گسترش می‌دهیم؛ آن‌ها یک برنامه به شما تحویل می‌دهند که عملاً کاری برای شما انجام نمی‌دهد. نه هکی می‌کند و نه چیز دیگری. برعکس! شما به این برنامه‌ها اعتماد کرده و آن‌ها را نصب کرده‌اید. اگر این برنامه‌ها مخرب باشند (که معمولاً هستند و اغلب ذاتاً به همین منظور طراحی می‌شوند)، قادر خواهند بود همه اطلاعات کامپیوتر یا گوشی شما را به سرقت ببرند؛ از رمزهای عبوری که تا به حال وارد کرده‌اید بگیرید تا تصاویر خانوادگی و اطلاعات بانکی تا گوش دادن به پیامک‌ها و ارسال کد تایید به خود سازنده (یعنی تلگرام خودتان هک خواهد شد!) تا … .

متاسفانه افراد بسیار زیادی بدون توجه به این نکات ساده، اسیر چنین برنامه‌هایی شده و به راحتی هک می‌شوند. لطفاً و لطفاً به این سادگی گول نخورید!

تعدادی از چنین تبلیغاتی را در تصاویر زیر مشاهده کنید:

نمونه اول تبلیغات دروغین و فریب دهنده:

نمونه دوم تبلیغات دروغین و فریب دهنده:

نمونه سوم تبلیغات دروغین و فریب دهنده:

درصورت مواجه به چنین سایت‌هایی سریعاً آن‌ها را از طریق سایت پلیس فضای تولید و تبادل اطلاعات (فتا) گزارش دهید. اگر سوء استفاده‌ای انجام شده، از طریق پلیس آگاهی محل سکونت خود، مقدمات شکایت را فراهم کنید.