Telegram kriptó lopás – SlowMist malware felfedezése és védekezés

cyber security — Fotó: cottonbro studio / Pexels
Összefoglalás

  • A SlowMist egy macOS malware-t dokumentált, amely Telegram session fájlokat céloz meg, hogy hozzáférjen kriptó walletekhez anélkül, hogy jelszó vagy SMS-kód kellene.
  • A támadók olyan látszólagos szoftverek révén jutnak be a rendszerbe (kalóz alkalmazások, VPN, kriptó-eszközök), amelyek a háttérben ellopják a Telegram autentifikációs adatokat.
  • Az áldozatok gyakran a seed phrase-eket saját Telegram üzeneteikben tárolják, amely lehetővé teszi a támadók számára a teljes wallet-hozzáférést az átvett fiók után.

A SlowMist blockchain biztonsági cég 2026-ban dokumentált egy olyan macOS-es kártevőt, amely kifejezetten Telegram-munkameneteken keresztül próbál hozzáférni kriptó walletekhez. Nem brutális erővel törnek be — hanem te magad „engedélyezed” a hozzáférést, csak éppen nem tudod róla. Ez a cikk nem a technikai részletekről szól elsősorban, hanem arról, hogy te mit tehetsz.

Mit csinált pontosan ez a malware?

A SlowMist által azonosított kártevő macOS-en futott, és a Telegram session fájlokat vette célba. A Telegram ugyanis helyben tárolja a bejelentkezési adatokat — ha ezeket valaki megszerzi, saját telefonod, saját fiókoddá válik a szemükben. Nem kell jelszó, nem kell SMS-kód, mert a session már „hitelesített”.

A támadási lánc általában így nézett ki:

  1. Az áldozat letölt egy látszólag ártatlan alkalmazást — legtöbbször kalóz szoftvert, „ingyenes” VPN-t, vagy egy állítólagos kriptó-eszközt.
  2. Az alkalmazás a háttérben hozzáfér a Telegram session adataihoz (~/Library/Group Containers/ könyvtár).
  3. A session tokeneket kiszivárogtatta egy távoli szerverre.
  4. A támadók ezután a te Telegram-fiókodon keresztül próbálkoztak — privát üzenetek átnézése, seed phrase-ek, wallethez kapcsolódó botok manipulálása.

A végcél egyértelmű: megtalálni azt a pár sort, ahol leírtad a seed phrase-t, vagy ahol valamilyen wallet bot tárolta az adataidat.

Miért veszélyes a Telegram a kriptós felhasználóknak?

Sokan használják a Telegramot kriptó-kereskedéshez, wallet botokhoz, DEX aggregátorokhoz, NFT projektekhez. Ez teszi különösen értékes célponttá. Ha valaki átveszi a Telegram-munkamenetedet, nem csak az üzeneteidet látja — hanem minden botot, csatornát, csoportot is, ahol esetleg érzékeny adatot osztottál meg.

A probléma egy másik dimenziója: sokan a seed phrase-t Telegram üzenetben „mentik el” maguknak. Saját mentett üzenetek, „Saved Messages” — nagyon kényelmes, és nagyon veszélyes.

Hogyan ismered fel, hogy bajban vagy?

Sajnos a session hijacking sokszor tünetmentes — egészen addig, amíg el nem tűnik valami a walletből. Néhány figyelmeztető jel azért akad:

  • Ismeretlen bejelentkezések a Telegram aktív munkamenetek listájában (Beállítások → Eszközök)
  • Olyan üzenetek, amelyeket te nem küldtél
  • Ismeretlen csoportokba való „belépés” a tudtod nélkül
  • A macOS Activity Monitor gyanús processzeket mutat, amelyek hálózati forgalmat generálnak
  • Ismeretlen alkalmazás kér hozzáférést a ~/Library könyvtárhoz

Ha ezek közül bármelyiket tapasztalod, ne várd meg a következő lépést.

Azonnali teendők, ha kompromittálódtál

Pánik helyett sorban:

  1. Telegram: minden más munkamenet azonnali lezárása. Beállítások → Eszközök → „Minden más munkamenet lezárása”. Ez azonnal érvényteleníti az összes ellopott session tokent.
  2. Jelszó módosítása és 2FA bekapcsolása, ha még nem tetted.
  3. Walleteid áthelyezése. Ha bármi esélye van, hogy a seed phrase kiszivárgott, az ott lévő eszközöket azonnal mozgasd egy teljesen új, frissen generált wallet-be. Nem holnap — most.
  4. A fertőzött alkalmazás eltávolítása és macOS teljes átfésülése egy megbízható eszközzel (Malwarebytes Mac verzió például ingyenes alapcsomaggal is detektál sokat).

Megelőzés: a Telegram-fiókod megerősítése

Kétlépéses hitelesítés bekapcsolása

Ez az első és legfontosabb lépés. Beállítások → Adatvédelem és biztonság → Kétlépéses hitelesítés. Állíts be egy erős jelszót, amit máshol nem használsz. Ez nem pótolja a session lopás elleni védelmet teljesen, de jelentősen megnehezíti a támadó dolgát.

Aktív munkamenetek rendszeres ellenőrzése

Havonta egyszer nézd meg, hogy milyen eszközökről van aktív Telegram-bejelentkezésed. Beállítások → Eszközök. Ha ismeretlen eszközt, ismeretlen IP-t vagy gyanús helyszínt látsz — azonnal lezárás.

Telegram letöltése csak hivatalos forrásból

Hangzik triviálisnak, de sokan kalóz vagy „módosított” Telegram verziókat telepítenek. Kizárólag a Mac App Store vagy a telegram.org az elfogadható forrás. Semmi harmadik fél, semmi „jobb verzió”.

macOS biztonsági beállítások, amelyeket érdemes átgondolni

App engedélyek átvizsgálása

Rendszer-beállítások → Adatvédelem és biztonság. Nézd meg, melyik alkalmazásnak van hozzáférése a lemezhez (Full Disk Access), a mikrofónhoz, a kamerához, a névjegyekhez. Ha ott van valami, amit nem ismersz fel vagy nem te engedélyeztél — ki vele.

Gatekeeper és a „nem azonosított fejlesztők” csapdája

A macOS alapból blokkolja az App Store-on kívüli, aláíratlan alkalmazásokat. Sokan ezt kikapcsolják, mert valamelyik „hasznos kis programhoz” kellett. Ez óriási kockázat. Ha mégis szükséges egy ilyen alkalmazás, utána azonnal kapcsold vissza a Gatekeeper védelmet.

A Library könyvtár figyelése

A ~/Library/Group Containers/ mappa tartalmazza többek között a Telegram helyi adatait. Normál esetben ehhez csak maga a Telegram fér hozzá. Ha valami mást is látsz ott turkálni az Activity Monitorban vagy egy engedélykérő ablakban — piros zászló.

Wallet-kezelési gyakorlat: mit ne tárolj Telegramban

Ide tartozik minden, amit tapasztalatból vagy lustaságból sokan megtesznek — és amit le kell szokni:

  • Seed phrase soha nem kerülhet Telegram üzenetbe — sem magadnak, sem másnak, sem „titkosított” formában
  • Privát kulcsok, keystore fájlok, jelszavak — ugyanez vonatkozik rájuk
  • Wallet bot hozzáférések: ha kriptót tartasz Telegram boton keresztül elérhető hot walleten, azt tekintsd potenciálisan elveszettnek kompromittálódás esetén
  • Képernyőképek seed phrase-ről: ha a Telegram fotótárolóhoz is hozzáfért a kártevő, a képernyőképeid is kiszivároghattnak

A hardware wallet még mindig az egyetlen módszer, amellyel a privát kulcsod soha nem kerül online — ha valódi vagyont tárolsz kriptóban, ez nem opció, hanem alap.

Összefoglalás: mit jelent ez a gyakorlatban?

A SlowMist által dokumentált támadás jól mutatja, hogy a kriptós vagyon elvesztéséhez nem kell feltörni egy exchange-t vagy megtámadni egy okosszerződést. Elég egy fertőzött alkalmazás, egy figyelmen kívül hagyott session, és néhány sor szöveg a Telegram mentett üzenetei között.

A védekezés nem bonyolult, de következetességet igényel:

  • ✅ Telegram 2FA: bekapcsolva
  • ✅ Aktív munkamenetek: havonta ellenőrizve
  • ✅ Alkalmazások: csak megbízható forrásból
  • ✅ macOS app engedélyek: rendszeresen átnézve
  • ✅ Seed phrase: soha nem digitálisan, soha nem online
  • ✅ Jelentős összeg: hardware walletben

A legdrágább tanulópénz az, amelyet mások után fizetsz. Most még van lehetőség megelőzni.

🧭 Nem tudod, hol kezdd? Beszéljük át.

A Befektetői Iránytű egy 60 perces, alapos beszélgetés arról, hol tartasz és merre indulj — plusz egy személyre szabott tanulási terv.

29 900 Ft, beszámítható egy nagyobb programba, ha úgy döntesz.

Jelentkezem →

Ez nem befektetési tanácsadás.

Gyakori kérdések

Hogyan működik a Telegram session lopása?

A malware a Telegram helyi session fájljait szerzi meg (~/Library/Group Containers/ könyvtárból macOS-en), amelyek már hitelesített bejelentkezési adatokat tartalmaznak. Ez lehetővé teszi a támadónak, hogy jelszó nélkül hozzáférjen a fiókhoz, mintha a saját eszközéről jelentkeznének be.

Mely alkalmazások terjedítik ezt a malware-t?

A támadók elsősorban kalóz szoftvert, ingyenes VPN-alkalmazásokat és azt ígérő kriptó-eszközöket használnak az unsuspecting felhasználók becsapásához. Mindig megbízható forrásból letöltött szoftvert használj.

Mit lehet csinálni a Telegramon tárolt seed phrase-sel?

Ha a támadó hozzáfér a Telegram fiókodhoz, könnyen megtalálhatja a saját mentett üzenetekben tárolt seed phrase-eket. Soha ne tárolj érzékeny adatokat Telegramon, papírra vagy hardveres tárcára írj.

Hogyan védheted meg a Telegram fiókot kriptó kereskedéshez?

Ne töltsd le a nem megbízható alkalmazásokat, rendszeres biztonsági frissítéseket telepíts, és fontold meg kétfaktoros autentifikáció bekapcsolását. Javasolt a wallet botokat izolált eszközön vagy hardveres tárcán kezelni.

Mit jelent a 'session token' a Telegram biztonsággal kapcsolatban?

A session token az a hitelesítési kód, amely bizonyítja, hogy már bejelentkeztél a Telegramra. Ha valaki ellopja ezt, hozzáférhet a fiókodhoz anélkül, hogy tudna a jelszót – mintha nálad lenne a telefon.

Kripto Konzultáció

Ha úgy érzed túl sok az új információ, vagy le kéne porolni az alapokat a kriptovaluta tudásod illetően, jelentkezz a Befektetői Iránytűre: egy 60 perces, alapos beszélgetés arról, hol tartasz és merre indulj — plusz egy személyre szabott tanulási terv.
Online Konzultáció - Befektetői Iránytű - 60 perces beszélgetés + személyre szabott terv