من سعیم در پاسخ به این سوال این است که آگاهی افراد را در زمینه چند روش معمول در هک کردن اکانت تلگرام بیشتر کنم و هدف آموزش هک کردن نیست.
در کل وقتی بحث هک کردن تلگرام، ایستاگرام، فیسبوک و از این قبیل سرویسها پیش میآید هکرها چند راهکرد متفاوت میتوانند داشته باشند.
روشهای مختلف هک کردن تلگرام
راهکار اول - هک کردن سرور تلگرام
راهکار اول که سختترین و کماحتمالترین راه است، پیدا کردن باگ امنیتی در سرور سرویسدهنده میباشد که در اینجا یعنی سرور تلگرام. جایی که تمام مشخصات اکانتها و همچنین تمام پیامها (به جز Secret Chatها) ذخیره است. طبق گفته تلگرام Secret Chat ها از گوشی فرستنده کدگذاری شده و در نهایت در گوشی گیرنده کدگذاری آنها باز میشود و هیچ جای دیگری به جز گوشی فرستنده و گیرنده ذخیره نمیشود که یکی از ویژگیهای خوب تلگرام میباشد. دسترسی به اطلاعات سرور تلگرام بسیار سخت است و تلگرام حتی بارها مسابقههایی گذاشته که اگر کسی بتواند سرور تلگرام را به هر روشی هک کند جایزههای خیلی بزرگی به آن شخص یا تیم تعلق میگیرد و این مورد نشان میدهد اگر هم نقطه ضعفی در سرور تلگرام باشد تا به حال احتمال اینکه توسط فرد دیگری گزارش شده باشد زیاد است.
اگر هکری بتواند با این روش تلگرام را هک کند ممکن است حتی بتواند به اطلاعات تمام کاربران تلگرام دسترسی پیدا کند. تا کنون هیچ کس نتوانسته این کار را انجام دهد ولی اخیرا شاهد هک شدن سرویسهای خیلی بزرگ و امنی مانند Equifax بودهایم. هدف از توضیح این راهکار بیشتر رسیدن به این نتیجه بود که هک کردن از این روش بسیار امکانش کم است و اگر هم هکری این کار را انجام دهد به احتمال زیاد اطلاعاتش را در برای فروش در ازای بیتکوین در بازارهای مخصوص این کار قرار میدهد.
راهکار دوم - فیشینگ (Phishing)
در این راهکار که به آن فیشینگ یا ماهیگیری (به جای F با Ph نوشته میشود) هکر یک وبسایت یا یک اپ جعلی که خیلی شبیه صفحه لاگین تلگرام است را ایجاد کرده و با بهانهای از شما میخواهد به عنوان مثال شماره تلفن و کد وریفیکشن خود را وارد کنید. مثلا میگوید اگر در این صفحه لاگین کنید میتوانید تمام افرادی که در اطراف شما آنلاین هستند را ببینید و یا میتوانید افرادی که پروفایل شما را باز کردهاند را ببینید. این بهانه کاملا الکی است و فقط میخواهد شما را ترقیب کند تا شماره تلفن و کد دسترسیتان را وارد کنید تا خودش بتواند به اکانت شما دسترسی پیدا کند. وقتی شما شماره تلفنتان را وارد میکنید، هکر شماره را به سرویس اصلی تلگرام میفرستد و شما پیامک یا پیامی با کد دسترسی دریافت میکنید و هکر یا برنامهای که نوشته قبل از شما از آن کد استفاده میکند تا لاگین کند و به حساب شما دسترسی پیدا کند.
جهت جلوگیری از هک شدن با این روش حتما همیشه قبل از وارد کردن شماره تلفنتون مطمئن باشید که آدرس بالای صفحه مرورگرتون telegram.org۳٬۶۴۰ و یا web.telegram.org۲٬۷۹۵ هست و علامت قفل مرتبط با https هم به رنگ سبز است.
راهکار سوم - اپ جعلی (Fake App)
در این روش هکر یک اپ جعلی که واقعا کار هم میکند به شما معرفی میکند. تقریبا تمام اپهای تلگرام از جمله نسخه اندروید، iOS و دستکتاپ متنباز یا Open Source هستند. این موضوع باعث میشود سرعت رشد نرمافزارهای تلگرام خیلی بیشتر باشد و همینطور اگر باگ یا مشکلی در کد نرمافزارهای تلگرام وجود دارد خیلی سریعتر پیدا شود و توسط جمع درست شود. اما از طرف دیگر هکرها میتوانند به عنوان مثال کد اندروید تلگرام را دریافت کنند و در آن تغییراتی ایجاد کنند تا به عنوان مثال کپی تمام چتهای شما به سرور دیگری فرستاده شود و یا حتی از طرف اکانت شما به دیگران پیام بفرستند و یا در گروهها پیامهای تبلیغاتی از طرف شما فرستاده شود.
حتی بعضی اوقات هکرها نسخهای از اپ ایجاد میکنند که امکانات بیشتری از نسخه اصلی دارد تا کاربران را به نصب نسخه غیر اصلی تشویق کنند، مثلا عکس پشتزمینه را میتوان عوض کرد و یا استیکرهای پیشفرض بیشتری دارد.
برای جلوگیری از این روش حتما نسخه اصلی اپ را از منابع مطمئن مانند گوگل پلی (Google Play)، اپ استور (App Store) و کافه بازار دریافت کنید و هرگز فایل APK و یا IPA را از منابعی که نمیشناسید و یا کانالهای تلگرامی دریافت نکنید. در اینجا۱٬۸۶۳ لینک دریافت نسخه اصلی تمام اپهای تلگرام وجود دارد.
راهکار چهارم - روش ARP Spoofing و Man in the Middle
این راهکار با تغییر دادن مسیر رد و بدل شدن اطلاعات انجام میشود. به عنوان مثال به جای اینکه اطلاعات شما مستقیم به سرور تلگرام برود، ابتدا به یک سرور دیگر میرود و سپس آن سرور اطلاعات را ذخیره میکند و بعد اطلاعات را به سرور تلگرام هدایت میکند. این کار از راههای مختلف میتواند انجام شود، مثلا با هک کردن Router شما که با آن به اینترنت وصل میشوید و یا کسانی که دسترسی به ISP (سرویسدهنده اینترنت) شما را دارند و همینطور با استفاده از روشهایی مانند ARP Spoofing که در واقع یک کامپیوتر آدرس خود را به صورت جعلی آدرس دیگری معرفی میکند و سعی میکند اطلاعات شما به جای اینکه به آدرس اصلی برود اول به آن آدرس برود. این کار در مکانهای عمومی مانند فرودگاهها یا کافیشاپها معمولا انجام میشود چون برای انجام آن همه باید زیر یک شبکه باشند. خوشبختانه تمام اطلاعات تلگرام از پروتوکل https که کدگذاری شده است رد میشود و تنها در حالتی هکر میتواند اطلاعات خوبی بدست آورد که مثلا شما از مرورگر برای فرستادن پیامها استفاده کنید و وقتی صفحه قرمزی که میگوید این صفحه امن نیست را میبینید Continue Anyway را کلیک کنید. در این شرایط هکر میتواند تمام پیامهای شما را به جز Secret Chatها ببیند.
تا همین چند وقت پیش میشد از این روش برای هک اینستاگرم در مکانهای عمومی استفاده کرد به این صورت که شما میتوانستید در یک فرودگاه به عنوان مثال تمام اطلاعاتی که به سرورهای اسنتاگرام فرستاده میشد را ببینید و حتی به Cookie اشخاص دسترسی پیدا کنید که نتیجهاش این بود که میتوانستید برای مدت محدودی با اکانت دیگران لاگین باشید. دلیل این موضوع استفاده نکردن اینستاگرم از پروتوکل https در اپ iOS خود بود که این مشکل را برطرف کرد.
برای جلوگیری از هک شدن از این روش حتما از مرورگرهای جدید استفاده کنید و هرگز وقتی روی مرور صفحه قرمزی رو میبینید که میگه SSL Certificate شناخته شده نیست روی Continue کلیک نکنید، نه در سایت تلگرام نه در هیچ سایت دیگری.
راهکار پنجم - استفاده از تروجان (Trojan) و کیلاگر (Keylogger)
در این روش برای شما روی گوشی یا کامپیوتر شخصیتون فایلی فرستاده میشه. ممکنه این فایل یک بازی باشه یا مثلا اپ چراغ قوه. شما این اپ رو نصب میکنید و خیلی هم ازش رازی هستید ولی قبل از نصب چک نکردید که این برنامه چه دسترسیهایی را تقاضا کرده و یا آنرا بدون خواندن تایید کردید. این اپها میتوانند کی لاگر و یا تروجان باشند که کارشان ثبت و فرستادن دکمههایی که روی کیبورد و یا گوشیتان میزنید و یا کنترل رایانه شما از راه دور میباشد. یعنی مثلا هکر میتواند تنظیم کند وقتی اپ تلگرام باز است تمام کلیدهایی که روی کیبورد تایپ میکنید ثبت شود و هر روز برای هکر فرستاده شود.
برای جلوگیری از هک شدن از این روش هیچگاه از سایتها و اشخاصی که نمیشناسید فایل اجرایی قبول نکنید، قبل از نصب برنامهها حتی از کافه بازار و یا گوگل پلی دسترسیهایی که برنامه میخواهد را چک کنید و مطمئن شوید دسترسی اضافهتر از کاری که برنامه میکند تقاضا نکند و اگر گوشی و یا لپتاپتان اپل نیست حتما آنتی ویروس مناسبی نصب کنید. آنتیویروسها بسیار در تشخیص کیلاگرها و تروجانها خوب عمل میکنند. به علت ساختار سیستم عامل اپل و محدودیتهای زیادی که برای برنامهها ایجاد کرده ساختن تروجان و کیلاگر برای این سیستم عامل خیلی سختتر هست و به همین دلیل نیازی به نصب آنتیویروس روی این سیستم عامل نیست. نصب فایروال روی رایانه شخصی هم میتواند به جلوگیری از هک شدن از روش تروجان و یا کیلاگر موثر باشد.
راهکار ششم - مهندسی اجتماعی (Social Engineering۵۲۲)
مهندسی اجتماعی "سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است". این روش به تنهایی شاید به نظر اصلا یک روش هک کردن به نظر نیاید و معمولا با از آن برای پیادهسازی روشهای دیگر استفاده میکنند.
در این روش خیلی وقتها افراد با فرستادن ایمیل و پیامهای تلگرامی و حتی تلفن زدن اعتماد شما را بدست میآورند و از خود شما اطلاعاتی میپرسند که با استفاده از آنها به صورت مستقیم و یا غیر مستقیم میتوانند شما را هک کنند. مثلا پرسیدن رنگ مورد علاقه شما، ایمیلتون و تاریخ تولدتون و استفاده از آن برای ریست کردن رمز ایمیلتون و بعد دسترسی به بقیه اکانتهاتون با داشتن اون. و یا مثلا با شما تماس میگیرند و میگن از یک شرکت بیمه هستن، شماره تلفن شمارو میگیرند و بعد میگن برای تایید شماره تلفن به شما یک کد اساماس شده و لطفا اون کد رو بخونید. شما فکر میکنید این کد از طرف اون شرکت بیمه پست شده در صورتی که کدی هست که از تلگرام برای شما فرستاده شده ولی پای تلفن به شخص مقابل اعتماد کردید، بدون چک کردن اینکه پیامک از کجا اومده کد رو میخونید و شخص مقابل به حساب شما دسترسی پیدا کرده! این روش یکی از پیچیدهترین و خطرناکترین روشهایی هست که جلوگیری ازش هم با وجود اینکه به نظر نمیاد خیلی سختتر از بقیه روشها هست چون رفتار انسانها قابل پیشبینی نیست و روشهای اجرای این ترفند نامحدود هست.
برای جلوگیری از هک شدن از این روش هیچ وقت اطلاعات شخصی و حتی خیلی معمولی خودتون را با کسی که نمیشناسید به اشتراک نگذارید.
راهکار هفتم - دسترسی مستقیم به گوشی و یا رایانه
این روش در ابتدا شاید به نظر مسخره بیاد. شاید به نظرتون این روش اصلا هک کردن نباشه ولی نکتهای که وجود داره اینه که هکر میتونه با زمان کمی دسترسی به رایانه و موبایل شما اطلاعات Cookie مرورگر و یا کد Bearer گوشی شما رو کپی کنه و بعدا با کپی کردن اونا به اکانت شما در کامپیوتر خودش دسترسی پیدا کنه! Cookie و یا کد امنیتی Bearer در واقع یک رشته بلند از حروف هست که مشخص میکنه الآن درخواست به سرور از طرف چه کسی داره فرستاده میشه. البته تلگرام در این زمینه خیلی روی امنیت خودش کار کرده و به جز این کد پارامترهای خیلی زیاد دیگری مثل IP Address و غیررو هم چک میکنه ولی باز هم راههایی هست که بشه از این روش استفاده کرد.
برای جلوگیری از این روش هیچ وقت گوشیتون و به خصوص رایانتون رو به کسی که به نظرتون خیلی کامپیوتر بلده و اعتماد بهش ندارید ندین و اگر هم این کار رو کردید بعد از اینکه رایانه و یا گوشیتون رو پس گرفتین به Setting اپ تلگرام و یا اکانتهای مهم دیگتون برید و دکمه Log out from other devices رو بزنید تا اگر هم از این روش استفاده کرده بود از تمام دستگاههای دیگه Logout بشه و در واقع اون اطلاعات Cookie و Bearer از دید سرور تلگرام اعتبارشون رو از دست بدن.
راهکار هشتم - هک کردن از راه دور دستگاه شما
در این روش در واقع هکر به صورت مستقیم تلگرام شما رو هک نمیکنه، بلکه گوشی و یا رایانه شما را هک کرده و از طریق اون به تلگرام شما و خیلی اطلاعات دیگهای که روی دستگاهتون دارید دسترسی پیدا میکنه. این روش، روش آسونی نیست و نیاز با دانش خیلی زیادی در زمینه امنیت داره. همانطور که گفتم روش هک کردن سرور تلگرام به خاطر امنیت بالاش خیلی سخته اما کامپیوتر و دستگاههای خیلی از افراد از نسخههای خیلی قدیمی سیستم عامل و نرم افزارهای قدیمی استفاده میکنند و این مورد کار رو برای هکرهای حرفهای کمی آسونتر میکنه.
اگر بخوام این روش رو خیلی ساده توضیح بدم در اون هکرها ابتدا باید آدرس شما در اینترنت که به اون IP Address میگن رو پیدا کنن. این کار با روشهای مختلفی مثل درخواست کردن از شما برای فرستادن عکس و یا معرفی کردن شما به یه سایتی که خودشون به سرورش دسترسی دارن انجام میشه. در واقع هر وبسایتی که شما بهش میرید اگر که پشت پراکسی یا VPN نباشید آیپی شما رو میتونه ببینه.
بعد نرمافزارهای Port Scanner۱٬۵۰۳ رو روی آدرس شما اجرا میکنه. اگر آیپی آدرس خونه شما باشه، پورت راههای وارد شدن و خارج شدن از خونه شماست، مثلا درب اصلی، پنجرهها، درب پشت بام،... هر نرمافزار و سرویسی که روی اینترنت اطلاعات میفرستی از یکی از این Portها اطلاعات رو دریافت و یا ارسال میکنه. اگر تمام درهای خونتون امن باشه امکان وارد شدن به خونهی شما نخواهد بود. نرمافزار Port Scanner در واقع میاد میبینه کدام پورتها در گوشی یا کامپیوتر شما فعال هست. بعد میشه روی پورتهای فعال نرمافزارهای اسکنر آسیب پذیری و یا Vulnerability scanner۸۳۵ اجرا کرد. این نرمافزارها پورتهای فعال رو چک میکنند و میبینند آیا مشکل امنیتی در این پورتها وجود داره که بشه بهش نفوذ کرد یا خیر. در واقع نرمافزارهای تست آسیبپذیری یه لیست از تمام پورتها، مشکلات امنیتی و برنامههایی که در اینترنت کار میکنند دارند و تمام مشکلات امنیتی رو تست میکنن روی آدرس شما و اگر هر مشکلی به نظرشون وجود داشت به هکر یا مسئول امنیت اعلام میکنند. بعد هکر میتونه بیشتر در مورد اون مشکل امنیتی تحقیق کنه و سعی کنه از اون راه کنترل بخشی یا تمام اون دستگاه رو بدست بیاره.
برای جلوگیری از هک شدن از این روش بهترین راه نصب یه فایروال (Firewall) خوب هست که در واقع وظیفش امن کردن پورتهای دستگاه شماست. همینطور با استفاده از VPN و یا Proxy میتونید به طور کلی آدرس خودتون رو مخفی نگه دارید.
سوالات متداول در مورد هک کردن تلگرام
آیا اگر کسی آیپی (IP) من رو داشته باشه میتونه تلگرام یا دستگاهمو هک کنه؟
همانطور که در راهکار هشتم اشاره شد، IP Address فقط آدرس دستگاه شما در اینترنت هست و تنها با داشتن این آدرس اگر سیستمعامل گوشی و رایانتون و برنامههایی که استفاده میکنید به روز باشه افراد معمولی و حتی اکثر هکرها نمیتونن کاری انجام بدن. اما باز اگر امنیت دستگاهتون براتون خیلی مهمه پیشنهاد میشه علاوه بر بروز نگه داشتن سیستم عامل و برنامههاتون یک فایروال خوب هم روی دستگاهتون نصب کنید.
آیا رباتهای تلگرام میتونن تلگرام منو هک کنن؟
خیر. رباتهای تلگرامی دسترسیشون به تلگرام خیلی محدودتر از اشخاص در تلگرام هست. یعنی اگر کسی بخواد شما رو هک کنه بیشتر احتمال داره که یک آدم باشه تا یه ربات تلگرام.
اما روباتهای تلگرام ممکن هست با استفاده از راهکار ششم بتونن از شما اطلاعاتی بگیرند. یعنی با پرسیدن سوالهای مختلف در زمانهای مختلف و ثبت این اطلاعات و در اختیار گذاشتن این اطلاعات برای سازندشون از روش ششم رمز شما رو بدست بیارن.
همینطور امکان داره برای شما به بهانهای لینک فیشینگ بفرستند و یا فایلی برای دانلود بفرستند که تروجان یا کیلاگر باشه ولی همه این کارها رو یک شخص حقیقی هم میتونه بفرسته و همانطور که گفتم باتها به جز سرعت تایپ و پخششون امکاناتشون خیلی محدودتر از کاربرهای حقیقی هست.