چگونه میشود وارد تلگرام دیگران شد

من سعیم در پاسخ به این سوال این است که آگاهی افراد را در زمینه چند روش معمول در هک کردن اکانت تلگرام بیشتر کنم و هدف آموزش هک کردن نیست.

در کل وقتی بحث هک کردن تلگرام، ایستاگرام، فیس‌بوک و از این قبیل سرویس‌ها پیش می‌آید هکرها چند راهکرد متفاوت می‌توانند داشته باشند.

روش‌های مختلف هک کردن تلگرام

راهکار اول - هک کردن سرور تلگرام

راهکار اول که سخت‌ترین و کم‌احتمال‌ترین راه است، پیدا کردن باگ امنیتی در سرور سرویس‌دهنده می‌باشد که در اینجا یعنی سرور تلگرام. جایی که تمام مشخصات اکانت‌ها و همچنین تمام پیام‌ها (به جز Secret Chatها) ذخیره است. طبق گفته تلگرام Secret Chat ها از گوشی فرستنده کدگذاری شده و در نهایت در گوشی گیرنده کدگذاری آنها باز می‌شود و هیچ جای دیگری به جز گوشی فرستنده و گیرنده ذخیره نمی‌شود که یکی از ویژگی‌های خوب تلگرام می‌باشد. دسترسی به اطلاعات سرور تلگرام بسیار سخت است و تلگرام حتی بارها مسابقه‌هایی گذاشته که اگر کسی بتواند سرور تلگرام را به هر روشی هک کند جایزه‌های خیلی بزرگی به آن شخص یا تیم تعلق می‌گیرد و این مورد نشان می‌دهد اگر هم نقطه ضعفی در سرور تلگرام باشد تا به حال احتمال اینکه توسط فرد دیگری گزارش شده باشد زیاد است.

اگر هکری بتواند با این روش تلگرام را هک کند ممکن است حتی بتواند به اطلاعات تمام کاربران تلگرام دسترسی پیدا کند. تا کنون هیچ کس نتوانسته این کار را انجام دهد ولی اخیرا شاهد هک شدن سرویس‌های خیلی بزرگ و امنی مانند Equifax بوده‌ایم. هدف از توضیح این راهکار بیشتر رسیدن به این نتیجه بود که هک کردن از این روش بسیار امکانش کم است و اگر هم هکری این کار را انجام دهد به احتمال زیاد اطلاعاتش را در برای فروش در ازای بیت‌کوین در بازارهای مخصوص این کار قرار می‌دهد.

راهکار دوم - فیشینگ (Phishing)

در این راهکار که به آن فیشینگ یا ماهیگیری (به جای F با Ph نوشته می‌شود) هکر یک وبسایت یا یک اپ جعلی که خیلی شبیه صفحه لاگین تلگرام است را ایجاد کرده و با بهانه‌ای از شما می‌خواهد به عنوان مثال شماره تلفن و کد وریفیکشن خود را وارد کنید. مثلا می‌گوید اگر در این صفحه لاگین کنید می‌توانید تمام افرادی که در اطراف شما آنلاین هستند را ببینید و یا می‌توانید افرادی که پروفایل شما را باز کرده‌اند را ببینید. این بهانه کاملا الکی است و فقط می‌خواهد شما را ترقیب کند تا شماره تلفن و کد دسترسیتان را وارد کنید تا خودش بتواند به اکانت شما دسترسی پیدا کند. وقتی شما شماره تلفنتان را وارد می‌کنید، هکر شماره را به سرویس اصلی تلگرام می‌فرستد و شما پیامک یا پیامی با کد دسترسی دریافت می‌کنید و هکر یا برنامه‌ای که نوشته قبل از شما از آن کد استفاده می‌کند تا لاگین کند و به حساب شما دسترسی پیدا کند.

جهت جلوگیری از هک شدن با این روش حتما همیشه قبل از وارد کردن شماره تلفنتون مطمئن باشید که آدرس بالای صفحه مرورگرتون telegram.org۳٬۶۴۰ و یا web.telegram.org۲٬۷۹۵ هست و علامت قفل مرتبط با https هم به رنگ سبز است.

راهکار سوم - اپ جعلی (Fake App)

در این روش هکر یک اپ جعلی که واقعا کار هم می‌کند به شما معرفی می‌کند. تقریبا تمام اپ‌های تلگرام از جمله نسخه اندروید، iOS و دستکتاپ متن‌باز یا Open Source هستند. این موضوع باعث می‌شود سرعت رشد نرم‌افزارهای تلگرام خیلی بیشتر باشد و همینطور اگر باگ یا مشکلی در کد نرم‌افزارهای تلگرام وجود دارد خیلی سریع‌تر پیدا شود و توسط جمع درست شود. اما از طرف دیگر هکرها می‌توانند به عنوان مثال کد اندروید تلگرام را دریافت کنند و در آن تغییراتی ایجاد کنند تا به عنوان مثال کپی تمام چت‌های شما به سرور دیگری فرستاده شود و یا حتی از طرف اکانت شما به دیگران پیام بفرستند و یا در گروه‌ها پیام‌های تبلیغاتی از طرف شما فرستاده شود.

حتی بعضی اوقات هکرها نسخه‌ای از اپ ایجاد می‌کنند که امکانات بیشتری از نسخه اصلی دارد تا کاربران را به نصب نسخه غیر اصلی تشویق کنند، مثلا عکس پشت‌زمینه را می‌توان عوض کرد و یا استیکرهای پیش‌فرض بیشتری دارد.

برای جلوگیری از این روش حتما نسخه اصلی اپ را از منابع مطمئن مانند گوگل پلی (Google Play)، اپ استور (App Store) و کافه بازار دریافت کنید و هرگز فایل APK و یا IPA را از منابعی که نمی‌شناسید و یا کانال‌های تلگرامی دریافت نکنید. در اینجا۱٬۸۶۳ لینک دریافت نسخه اصلی تمام اپ‌های تلگرام وجود دارد.

راهکار چهارم - روش ARP Spoofing و Man in the Middle

این راهکار با تغییر دادن مسیر رد و بدل شدن اطلاعات انجام می‌شود. به عنوان مثال به جای اینکه اطلاعات شما مستقیم به سرور تلگرام برود، ابتدا به یک سرور دیگر می‌رود و سپس آن سرور اطلاعات را ذخیره می‌کند و بعد اطلاعات را به سرور تلگرام هدایت می‌کند. این کار از راه‌های مختلف می‌تواند انجام شود، مثلا با هک کردن Router شما که با آن به اینترنت وصل می‌شوید و یا کسانی که دسترسی به ISP (سرویس‌دهنده اینترنت) شما را دارند و همینطور با استفاده از روش‌هایی مانند ARP Spoofing که در واقع یک کامپیوتر آدرس خود را به صورت جعلی آدرس دیگری معرفی می‌کند و سعی می‌کند اطلاعات شما به جای اینکه به آدرس اصلی برود اول به آن آدرس برود. این کار در مکان‌های عمومی مانند فرودگاه‌ها یا کافی‌شاپ‌ها معمولا انجام می‌شود چون برای انجام آن همه باید زیر یک شبکه باشند. خوشبختانه تمام اطلاعات تلگرام از پروتوکل https که کدگذاری شده است رد می‌شود و تنها در حالتی هکر می‌تواند اطلاعات خوبی بدست آورد که مثلا شما از مرورگر برای فرستادن پیام‌ها استفاده کنید و وقتی صفحه قرمزی که می‌گوید این صفحه امن نیست را می‌بینید Continue Anyway را کلیک کنید. در این شرایط هکر می‌تواند تمام پیام‌های شما را به جز Secret Chatها ببیند.

تا همین چند وقت پیش می‌شد از این روش برای هک اینستاگرم در مکان‌های عمومی استفاده کرد به این صورت که شما می‌توانستید در یک فرودگاه به عنوان مثال تمام اطلاعاتی که به سرورهای اسنتاگرام فرستاده می‌شد را ببینید و حتی به Cookie اشخاص دسترسی پیدا کنید که نتیجه‌اش این بود که می‌توانستید برای مدت محدودی با اکانت دیگران لاگین باشید. دلیل این موضوع استفاده نکردن اینستاگرم از پروتوکل https در اپ iOS خود بود که این مشکل را برطرف کرد.

برای جلوگیری از هک شدن از این روش حتما از مرورگرهای جدید استفاده کنید و هرگز وقتی روی مرور صفحه قرمزی رو می‌بینید که میگه SSL Certificate شناخته شده نیست روی Continue کلیک نکنید، نه در سایت تلگرام نه در هیچ سایت دیگری.

راهکار پنجم - استفاده از تروجان (Trojan) و کی‌لاگر (Keylogger)

در این روش برای شما روی گوشی یا کامپیوتر شخصیتون فایلی فرستاده می‌شه. ممکنه این فایل یک بازی باشه یا مثلا اپ چراغ قوه. شما این اپ رو نصب می‌کنید و خیلی هم ازش رازی هستید ولی قبل از نصب چک نکردید که این برنامه چه دسترسی‌هایی را تقاضا کرده و یا آنرا بدون خواندن تایید کردید. این اپ‌ها می‌توانند کی لاگر و یا تروجان باشند که کارشان ثبت و فرستادن دکمه‌هایی که روی کیبورد و یا گوشیتان می‌زنید و یا کنترل رایانه شما از راه دور می‌باشد. یعنی مثلا هکر می‌تواند تنظیم کند وقتی اپ تلگرام باز است تمام کلیدهایی که روی کی‌بورد تایپ می‌کنید ثبت شود و هر روز برای هکر فرستاده شود.

برای جلوگیری از هک شدن از این روش هیچ‌گاه از سایت‌ها و اشخاصی که نمی‌شناسید فایل اجرایی قبول نکنید، قبل از نصب برنامه‌ها حتی از کافه بازار و یا گوگل پلی دسترسی‌هایی که برنامه می‌خواهد را چک کنید و مطمئن شوید دسترسی اضافه‌تر از کاری که برنامه می‌کند تقاضا نکند و اگر گوشی و یا لپ‌تاپتان اپل نیست حتما آنتی ویروس مناسبی نصب کنید. آنتی‌ویروس‌ها بسیار در تشخیص کی‌لاگرها و تروجان‌ها خوب عمل می‌کنند. به علت ساختار سیستم عامل اپل و محدودیت‌های زیادی که برای برنامه‌ها ایجاد کرده ساختن تروجان و کی‌لاگر برای این سیستم عامل خیلی سخت‌تر هست و به همین دلیل نیازی به نصب آنتی‌ویروس روی این سیستم عامل نیست. نصب فایروال روی رایانه شخصی هم می‌تواند به جلوگیری از هک شدن از روش تروجان و یا کی‌لاگر موثر باشد.

راهکار ششم - مهندسی اجتماعی (Social Engineering۵۲۲)

مهندسی اجتماعی "سوء استفاده زیرکانه از تمایل طبیعی انسان به اعتماد کردن است". این روش به تنهایی شاید به نظر اصلا یک روش هک کردن به نظر نیاید و معمولا با از آن برای پیاده‌سازی روش‌های دیگر استفاده می‌کنند.

در این روش خیلی وقت‌ها افراد با فرستادن ای‌میل و پیام‌های تلگرامی و حتی تلفن زدن اعتماد شما را بدست می‌آورند و از خود شما اطلاعاتی می‌پرسند که با استفاده از آنها به صورت مستقیم و یا غیر مستقیم می‌توانند شما را هک کنند. مثلا پرسیدن رنگ مورد علاقه شما، ایمیلتون و تاریخ تولدتون و استفاده از آن برای ریست کردن رمز ایمیلتون و بعد دسترسی به بقیه اکانت‌هاتون با داشتن اون. و یا مثلا با شما تماس می‌گیرند و می‌گن از یک شرکت بیمه هستن، شماره تلفن شمارو می‌گیرند و بعد می‌گن برای تایید شماره تلفن به شما یک کد اس‌ام‌اس شده و لطفا اون کد رو بخونید. شما فکر می‌کنید این کد از طرف اون شرکت بیمه پست شده در صورتی که کدی هست که از تلگرام برای شما فرستاده شده ولی پای تلفن به شخص مقابل اعتماد کردید، بدون چک کردن اینکه پیامک از کجا اومده کد رو می‌خونید و شخص مقابل به حساب شما دسترسی پیدا کرده! این روش یکی از پیچیده‌ترین و خطرناک‌ترین روش‌هایی هست که جلوگیری ازش هم با وجود اینکه به نظر نمیاد خیلی سخت‌تر از بقیه روش‌ها هست چون رفتار انسان‌ها قابل پیش‌بینی نیست و روش‌های اجرای این ترفند نامحدود هست.

برای جلوگیری از هک شدن از این روش هیچ وقت اطلاعات شخصی و حتی خیلی معمولی خودتون را با کسی که نمی‌شناسید به اشتراک نگذارید.

راهکار هفتم - دسترسی مستقیم به گوشی و یا رایانه

این روش در ابتدا شاید به نظر مسخره بیاد. شاید به نظرتون این روش اصلا هک کردن نباشه ولی نکته‌ای که وجود داره اینه که هکر می‌تونه با زمان کمی دسترسی به رایانه و موبایل شما اطلاعات Cookie مرورگر و یا کد Bearer گوشی شما رو کپی کنه و بعدا با کپی کردن اونا به اکانت شما در کامپیوتر خودش دسترسی پیدا کنه! Cookie و یا کد امنیتی Bearer در واقع یک رشته بلند از حروف هست که مشخص می‌کنه الآن درخواست به سرور از طرف چه کسی داره فرستاده می‌شه. البته تلگرام در این زمینه خیلی روی امنیت خودش کار کرده و به جز این کد پارامترهای خیلی زیاد دیگری مثل IP Address و غیررو هم چک می‌کنه ولی باز هم راه‌هایی هست که بشه از این روش استفاده کرد.

برای جلوگیری از این روش هیچ وقت گوشیتون و به خصوص رایانتون رو به کسی که به نظرتون خیلی کامپیوتر بلده و اعتماد بهش ندارید ندین و اگر هم این کار رو کردید بعد از اینکه رایانه و یا گوشیتون رو پس گرفتین به Setting اپ تلگرام و یا اکانت‌های مهم دیگتون برید و دکمه Log out from other devices رو بزنید تا اگر هم از این روش استفاده کرده بود از تمام دستگاه‌های دیگه Logout بشه و در واقع اون اطلاعات Cookie و Bearer از دید سرور تلگرام اعتبارشون رو از دست بدن.

راهکار هشتم - هک کردن از راه دور دستگاه شما

در این روش در واقع هکر به صورت مستقیم تلگرام شما رو هک نمی‌کنه، بلکه گوشی و یا رایانه شما را هک کرده و از طریق اون به تلگرام شما و خیلی اطلاعات دیگه‌ای که روی دستگاهتون دارید دسترسی پیدا می‌کنه. این روش، روش آسونی نیست و نیاز با دانش خیلی زیادی در زمینه امنیت داره. همانطور که گفتم روش هک کردن سرور تلگرام به خاطر امنیت بالاش خیلی سخته اما کامپیوتر و دست‌گاه‌های خیلی از افراد از نسخه‌های خیلی قدیمی سیستم عامل و نرم افزارهای قدیمی استفاده می‌کنند و این مورد کار رو برای هکرهای حرفه‌ای کمی آسون‌تر می‌کنه.

اگر بخوام این روش رو خیلی ساده توضیح بدم در اون هکرها ابتدا باید آدرس شما در اینترنت که به اون IP Address می‌گن رو پیدا کنن. این کار با روش‌های مختلفی مثل درخواست کردن از شما برای فرستادن عکس و یا معرفی کردن شما به یه سایتی که خودشون به سرورش دسترسی دارن انجام می‌شه. در واقع هر وبسایتی که شما بهش می‌رید اگر که پشت پراکسی یا VPN نباشید آی‌پی شما رو می‌تونه ببینه.

 بعد نرم‌افزارهای Port Scanner۱٬۵۰۳ رو روی آدرس شما اجرا می‌کنه. اگر آی‌پی آدرس خونه شما باشه، پورت راه‌های وارد شدن و خارج شدن از خونه شماست، مثلا درب اصلی، پنجره‌ها، درب پشت بام،... هر نرم‌افزار و سرویسی که روی اینترنت اطلاعات می‌فرستی از یکی از این Portها اطلاعات رو دریافت و یا ارسال می‌کنه. اگر تمام درهای خونتون امن باشه امکان وارد شدن به خونه‌ی شما نخواهد بود. نرم‌افزار Port Scanner در واقع میاد میبینه کدام پورت‌ها در گوشی یا کامپیوتر شما فعال هست. بعد می‌شه روی پورت‌های فعال نرم‌افزارهای اسکنر آسیب پذیری و یا Vulnerability scanner۸۳۵ اجرا کرد. این نرم‌افزارها پورت‌های فعال رو چک می‌کنند و می‌بینند آیا مشکل امنیتی در این پورت‌ها وجود داره که بشه بهش نفوذ کرد یا خیر. در واقع نرم‌افزارهای تست آسیب‌پذیری یه لیست از تمام پورت‌ها، مشکلات امنیتی و برنامه‌هایی که در اینترنت کار می‌کنند دارند و تمام مشکلات امنیتی رو تست می‌کنن روی آدرس شما و اگر هر مشکلی به نظرشون وجود داشت به هکر یا مسئول امنیت اعلام می‌کنند. بعد هکر می‌تونه بیشتر در مورد اون مشکل امنیتی تحقیق کنه و سعی کنه از اون راه کنترل بخشی یا تمام اون دستگاه رو بدست بیاره.

برای جلوگیری از هک شدن از این روش بهترین راه نصب یه فایروال (Firewall) خوب هست که در واقع وظیفش امن کردن پورت‌های دستگاه شماست. همینطور با استفاده از VPN و یا Proxy می‌تونید به طور کلی آدرس خودتون رو مخفی نگه دارید.

سوالات متداول در مورد هک کردن تلگرام

آیا اگر کسی آی‌پی (IP) من رو داشته باشه می‌تونه تلگرام یا دستگاهمو هک کنه؟

همانطور که در راهکار هشتم اشاره شد، IP Address فقط آدرس دستگاه شما در اینترنت هست و تنها با داشتن این آدرس اگر سیستم‌عامل گوشی و رایانتون و برنامه‌هایی که استفاده می‌کنید به روز باشه افراد معمولی و حتی اکثر هکرها نمی‌تونن کاری انجام بدن. اما باز اگر امنیت دستگاهتون براتون خیلی مهمه پیشنهاد می‌شه علاوه بر بروز نگه داشتن سیستم عامل و برنامه‌هاتون یک فایروال خوب هم روی دستگاهتون نصب کنید.

آیا ربات‌های تلگرام می‌تونن تلگرام منو هک کنن؟

خیر. ربات‌های تلگرامی دسترسیشون به تلگرام خیلی محدودتر از اشخاص در تلگرام هست. یعنی اگر کسی بخواد شما رو هک کنه بیشتر احتمال داره که یک آدم باشه تا یه ربات تلگرام.

اما روبات‌های تلگرام ممکن هست با استفاده از راهکار ششم بتونن از شما اطلاعاتی بگیرند. یعنی با پرسیدن سوال‌های مختلف در زمان‌های مختلف و ثبت این اطلاعات و در اختیار گذاشتن این اطلاعات برای سازندشون از روش ششم رمز شما رو بدست بیارن.

همینطور امکان داره برای شما به بهانه‌ای لینک فیشینگ بفرستند و یا فایلی برای دانلود بفرستند که تروجان یا کی‌لاگر باشه ولی همه این کارها رو یک شخص حقیقی هم می‌تونه بفرسته و همانطور که گفتم بات‌ها به جز سرعت تایپ و پخششون امکاناتشون خیلی محدودتر از کاربرهای حقیقی هست.