Хакеры атакуют пользователей Signal – мошенники выдают себя за службу поддержки
Злоумышленники отправляют фишинговые сообщения в Signal, предоставляя техподдержку мессенджеру, чтобы получить секретный ключ восстановления и доступ к архиву переписки.
Хакеры запустили новую волну фишинговых атак против пользователей мессенджера Signal – злоумышленники пытаются получить секретный ключ восстановления, открывающий доступ к онлайн-резервным копиям переписки. Сходные схемы с похищением аккаунтов в мессенджерах фиксировали и раньше - мошенники уже отработали подобный подход в Telegram. Среди подтвержденных жертв новой кампании – журналисты и активисты. На этот раз злоумышленники выбрали другой вектор: вместо захвата аккаунта в реальном времени они бьют по архиву сообщений.
Об атаках стало известно после того, как аналитик Washington Post Джош Рогин обнародовал скриншот мошеннического сообщения в Signal. Несколько антикитайских активистов, по данным TechCrunch, получили идентичные фишинговые сообщения. Мохаммед Аль-Маскази, директор Digital Security Helpline в организации Access Now, сообщил, что двое других пострадавших не связаны с китайскими активистами – это указывает на более широкий охват кампании или на то, что разные группы хакеров используют одну тактику.
Механика атаки такова: злоумышленники посылают в Signal сообщения якобы от технической поддержки и предупреждают о проблеме синхронизации и угрозе потери всех данных. Чтобы ее "решить", они просят прислать им секретный ключ обновления. Если хакеры получат этот ключ, они получат доступ ко всем старым сообщениям, фотографиям и документам, сохраненным в резервной копии. Аль-Маскази уточнил, что кража ключа – лишь один этап атаки: чтобы полностью захватить контроль, злоумышленники должны также получить доступ к самому аккаунту.
Signal заявил, что служба поддержки мессенджера никогда не обращается к пользователям первой и никогда не запрашивает регистрационный код, PIN или ключ восстановления. То есть любое сообщение от "Signal Support" в чате – это фишинг. Администрация мессенджера публично предупредила о таком типе атак месяц назад.
Что сделать, чтобы защитить аккаунт
Ключевая защита от этой атаки – не передавать никому ключ восстановления резервных копий и регистрационный PIN, даже если сообщение выглядит официально. Также следует включить функцию Registration Lock в настройках Signal – она требует ввода отдельного PIN при попытке зарегистрировать номер телефона на новом устройстве. Это делает невозможным несанкционированную привязку устройств.
Более широкий контекст атак на Signal известен с начала года. ФБР и CISA присоединились к европейским спецслужбам с предупреждениями о кампаниях против мессенджеров. Цель злоумышленников – не взламывать сквозное шифрование, а обойти его, завладев доступом к конкретному аккаунту.
По выводам исследователей, операция согласуется с более масштабной кампанией, которую нидерландские спецслужбы AIVD и MIVD связали с российскими государственными актерами. Шифрование Signal при этом не взламывается – злоумышленники обходят его из-за функции привязки устройств. Так они получают те же сообщения, что и легитимный пользователь.
Фишинг под видом официальных структур – постоянная тенденция
Мошенничество по имитации официальных учреждений стало распространенной тактикой в Украине. Злоумышленники притворяются сотрудниками СБУ и других правоохранительных органов, звонят по телефону гражданам и требуют деньги под угрозой вымышленного уголовного преследования. Вслед за телефонными звонками шли фейковые документы и личное давление - такие схемы фиксировало и официально подтвердило ведомство.
Отдельно распространились фишинговые рассылки по электронной почте от имени государственных служб. Так, Государственная налоговая служба предупреждала о массовых фейковых письмах с требованием срочно погасить несуществующий долг по подозрительной ссылке. Общий знаменатель всех этих схем – имитация авторитетного источника и давление на жертву, чтобы заставить ее действовать быстро и необдуманно.
Следите за нами в Telegram
