- A SlowMist egy macOS malware-t dokumentált, amely Telegram session fájlokat céloz meg, hogy hozzáférjen kriptó walletekhez anélkül, hogy jelszó vagy SMS-kód kellene.
- A támadók olyan látszólagos szoftverek révén jutnak be a rendszerbe (kalóz alkalmazások, VPN, kriptó-eszközök), amelyek a háttérben ellopják a Telegram autentifikációs adatokat.
- Az áldozatok gyakran a seed phrase-eket saját Telegram üzeneteikben tárolják, amely lehetővé teszi a támadók számára a teljes wallet-hozzáférést az átvett fiók után.
A SlowMist blockchain biztonsági cég 2026-ban dokumentált egy olyan macOS-es kártevőt, amely kifejezetten Telegram-munkameneteken keresztül próbál hozzáférni kriptó walletekhez. Nem brutális erővel törnek be — hanem te magad „engedélyezed” a hozzáférést, csak éppen nem tudod róla. Ez a cikk nem a technikai részletekről szól elsősorban, hanem arról, hogy te mit tehetsz.
- Mit csinált pontosan ez a malware?
- Miért veszélyes a Telegram a kriptós felhasználóknak?
- Hogyan ismered fel, hogy bajban vagy?
- Azonnali teendők, ha kompromittálódtál
- Megelőzés: a Telegram-fiókod megerősítése
- Kétlépéses hitelesítés bekapcsolása
- Aktív munkamenetek rendszeres ellenőrzése
- Telegram letöltése csak hivatalos forrásból
- macOS biztonsági beállítások, amelyeket érdemes átgondolni
- App engedélyek átvizsgálása
- Gatekeeper és a „nem azonosított fejlesztők” csapdája
- A Library könyvtár figyelése
- Wallet-kezelési gyakorlat: mit ne tárolj Telegramban
- Összefoglalás: mit jelent ez a gyakorlatban?
Mit csinált pontosan ez a malware?
A SlowMist által azonosított kártevő macOS-en futott, és a Telegram session fájlokat vette célba. A Telegram ugyanis helyben tárolja a bejelentkezési adatokat — ha ezeket valaki megszerzi, saját telefonod, saját fiókoddá válik a szemükben. Nem kell jelszó, nem kell SMS-kód, mert a session már „hitelesített”.
A támadási lánc általában így nézett ki:
- Az áldozat letölt egy látszólag ártatlan alkalmazást — legtöbbször kalóz szoftvert, „ingyenes” VPN-t, vagy egy állítólagos kriptó-eszközt.
- Az alkalmazás a háttérben hozzáfér a Telegram session adataihoz (
~/Library/Group Containers/könyvtár). - A session tokeneket kiszivárogtatta egy távoli szerverre.
- A támadók ezután a te Telegram-fiókodon keresztül próbálkoztak — privát üzenetek átnézése, seed phrase-ek, wallethez kapcsolódó botok manipulálása.
A végcél egyértelmű: megtalálni azt a pár sort, ahol leírtad a seed phrase-t, vagy ahol valamilyen wallet bot tárolta az adataidat.
Miért veszélyes a Telegram a kriptós felhasználóknak?
Sokan használják a Telegramot kriptó-kereskedéshez, wallet botokhoz, DEX aggregátorokhoz, NFT projektekhez. Ez teszi különösen értékes célponttá. Ha valaki átveszi a Telegram-munkamenetedet, nem csak az üzeneteidet látja — hanem minden botot, csatornát, csoportot is, ahol esetleg érzékeny adatot osztottál meg.
A probléma egy másik dimenziója: sokan a seed phrase-t Telegram üzenetben „mentik el” maguknak. Saját mentett üzenetek, „Saved Messages” — nagyon kényelmes, és nagyon veszélyes.
Hogyan ismered fel, hogy bajban vagy?
Sajnos a session hijacking sokszor tünetmentes — egészen addig, amíg el nem tűnik valami a walletből. Néhány figyelmeztető jel azért akad:
- Ismeretlen bejelentkezések a Telegram aktív munkamenetek listájában (Beállítások → Eszközök)
- Olyan üzenetek, amelyeket te nem küldtél
- Ismeretlen csoportokba való „belépés” a tudtod nélkül
- A macOS Activity Monitor gyanús processzeket mutat, amelyek hálózati forgalmat generálnak
- Ismeretlen alkalmazás kér hozzáférést a
~/Librarykönyvtárhoz
Ha ezek közül bármelyiket tapasztalod, ne várd meg a következő lépést.
Azonnali teendők, ha kompromittálódtál
Pánik helyett sorban:
- Telegram: minden más munkamenet azonnali lezárása. Beállítások → Eszközök → „Minden más munkamenet lezárása”. Ez azonnal érvényteleníti az összes ellopott session tokent.
- Jelszó módosítása és 2FA bekapcsolása, ha még nem tetted.
- Walleteid áthelyezése. Ha bármi esélye van, hogy a seed phrase kiszivárgott, az ott lévő eszközöket azonnal mozgasd egy teljesen új, frissen generált wallet-be. Nem holnap — most.
- A fertőzött alkalmazás eltávolítása és macOS teljes átfésülése egy megbízható eszközzel (Malwarebytes Mac verzió például ingyenes alapcsomaggal is detektál sokat).
Megelőzés: a Telegram-fiókod megerősítése
Kétlépéses hitelesítés bekapcsolása
Ez az első és legfontosabb lépés. Beállítások → Adatvédelem és biztonság → Kétlépéses hitelesítés. Állíts be egy erős jelszót, amit máshol nem használsz. Ez nem pótolja a session lopás elleni védelmet teljesen, de jelentősen megnehezíti a támadó dolgát.
Aktív munkamenetek rendszeres ellenőrzése
Havonta egyszer nézd meg, hogy milyen eszközökről van aktív Telegram-bejelentkezésed. Beállítások → Eszközök. Ha ismeretlen eszközt, ismeretlen IP-t vagy gyanús helyszínt látsz — azonnal lezárás.
Telegram letöltése csak hivatalos forrásból
Hangzik triviálisnak, de sokan kalóz vagy „módosított” Telegram verziókat telepítenek. Kizárólag a Mac App Store vagy a telegram.org az elfogadható forrás. Semmi harmadik fél, semmi „jobb verzió”.
macOS biztonsági beállítások, amelyeket érdemes átgondolni
App engedélyek átvizsgálása
Rendszer-beállítások → Adatvédelem és biztonság. Nézd meg, melyik alkalmazásnak van hozzáférése a lemezhez (Full Disk Access), a mikrofónhoz, a kamerához, a névjegyekhez. Ha ott van valami, amit nem ismersz fel vagy nem te engedélyeztél — ki vele.
Gatekeeper és a „nem azonosított fejlesztők” csapdája
A macOS alapból blokkolja az App Store-on kívüli, aláíratlan alkalmazásokat. Sokan ezt kikapcsolják, mert valamelyik „hasznos kis programhoz” kellett. Ez óriási kockázat. Ha mégis szükséges egy ilyen alkalmazás, utána azonnal kapcsold vissza a Gatekeeper védelmet.
A Library könyvtár figyelése
A ~/Library/Group Containers/ mappa tartalmazza többek között a Telegram helyi adatait. Normál esetben ehhez csak maga a Telegram fér hozzá. Ha valami mást is látsz ott turkálni az Activity Monitorban vagy egy engedélykérő ablakban — piros zászló.
Wallet-kezelési gyakorlat: mit ne tárolj Telegramban
Ide tartozik minden, amit tapasztalatból vagy lustaságból sokan megtesznek — és amit le kell szokni:
- Seed phrase soha nem kerülhet Telegram üzenetbe — sem magadnak, sem másnak, sem „titkosított” formában
- Privát kulcsok, keystore fájlok, jelszavak — ugyanez vonatkozik rájuk
- Wallet bot hozzáférések: ha kriptót tartasz Telegram boton keresztül elérhető hot walleten, azt tekintsd potenciálisan elveszettnek kompromittálódás esetén
- Képernyőképek seed phrase-ről: ha a Telegram fotótárolóhoz is hozzáfért a kártevő, a képernyőképeid is kiszivároghattnak
A hardware wallet még mindig az egyetlen módszer, amellyel a privát kulcsod soha nem kerül online — ha valódi vagyont tárolsz kriptóban, ez nem opció, hanem alap.
Összefoglalás: mit jelent ez a gyakorlatban?
A SlowMist által dokumentált támadás jól mutatja, hogy a kriptós vagyon elvesztéséhez nem kell feltörni egy exchange-t vagy megtámadni egy okosszerződést. Elég egy fertőzött alkalmazás, egy figyelmen kívül hagyott session, és néhány sor szöveg a Telegram mentett üzenetei között.
A védekezés nem bonyolult, de következetességet igényel:
- ✅ Telegram 2FA: bekapcsolva
- ✅ Aktív munkamenetek: havonta ellenőrizve
- ✅ Alkalmazások: csak megbízható forrásból
- ✅ macOS app engedélyek: rendszeresen átnézve
- ✅ Seed phrase: soha nem digitálisan, soha nem online
- ✅ Jelentős összeg: hardware walletben
A legdrágább tanulópénz az, amelyet mások után fizetsz. Most még van lehetőség megelőzni.
🧭 Nem tudod, hol kezdd? Beszéljük át.
A Befektetői Iránytű egy 60 perces, alapos beszélgetés arról, hol tartasz és merre indulj — plusz egy személyre szabott tanulási terv.
29 900 Ft, beszámítható egy nagyobb programba, ha úgy döntesz.
Ez nem befektetési tanácsadás.
Gyakori kérdések
A malware a Telegram helyi session fájljait szerzi meg (~/Library/Group Containers/ könyvtárból macOS-en), amelyek már hitelesített bejelentkezési adatokat tartalmaznak. Ez lehetővé teszi a támadónak, hogy jelszó nélkül hozzáférjen a fiókhoz, mintha a saját eszközéről jelentkeznének be.
A támadók elsősorban kalóz szoftvert, ingyenes VPN-alkalmazásokat és azt ígérő kriptó-eszközöket használnak az unsuspecting felhasználók becsapásához. Mindig megbízható forrásból letöltött szoftvert használj.
Ha a támadó hozzáfér a Telegram fiókodhoz, könnyen megtalálhatja a saját mentett üzenetekben tárolt seed phrase-eket. Soha ne tárolj érzékeny adatokat Telegramon, papírra vagy hardveres tárcára írj.
Ne töltsd le a nem megbízható alkalmazásokat, rendszeres biztonsági frissítéseket telepíts, és fontold meg kétfaktoros autentifikáció bekapcsolását. Javasolt a wallet botokat izolált eszközön vagy hardveres tárcán kezelni.
A session token az a hitelesítési kód, amely bizonyítja, hogy már bejelentkeztél a Telegramra. Ha valaki ellopja ezt, hozzáférhet a fiókodhoz anélkül, hogy tudna a jelszót – mintha nálad lenne a telefon.









