Хакери атакують користувачів Signal - шахраї видають себе за службу підтримки
Зловмисники надсилають фішингові повідомлення у Signal, вдаючи техпідтримку месенджера, щоб отримати секретний ключ відновлення та доступ до архіву переписки
Хакери запустили нову хвилю фішингових атак проти користувачів месенджера Signal - зловмисники намагаються отримати секретний ключ відновлення, який відкриває доступ до онлайн-резервних копій переписки. Схожі схеми з викраденням акаунтів у месенджерах фіксували й раніше - шахраї вже відпрацювали подібний підхід у Telegram. Серед підтверджених жертв нової кампанії - журналісти та активісти. Цього разу зловмисники обрали інший вектор: замість захоплення облікового запису в реальному часі, вони б'ють по архіву повідомлень.
Про атаки стало відомо після того, як аналітик Washington Post Джош Роґін оприлюднив скриншот шахрайського повідомлення у Signal. Кілька антикитайських активістів, за даними TechCrunch, отримали ідентичні фішингові повідомлення. Мохаммед Аль-Масказі, директор Digital Security Helpline в організації Access Now, повідомив, що двоє інших постраждалих не пов'язані з китайськими активістами - це вказує на ширше охоплення кампанії або на те, що різні групи хакерів використовують одну тактику.
Механіка атаки така: зловмисники надсилають у Signal повідомлення нібито від технічної підтримки та попереджають про проблему синхронізації й загрозу втрати всіх даних. Щоб її "вирішити", вони просять надіслати їм секретний ключ відновлення. Якщо хакери отримають цей ключ, вони дістануть доступ до всіх старих повідомлень, фото та документів, збережених у резервній копії. Аль-Масказі уточнив, що крадіжка ключа - лише один етап атаки: щоб повністю захопити контроль, зловмисники мають також отримати доступ до самого акаунту.
Signal заявив, що служба підтримки месенджера ніколи не звертається до користувачів першою і ніколи не запитує реєстраційний код, PIN або ключ відновлення. Тобто будь-яке повідомлення від "Signal Support" у чаті - це фішинг. Адміністрація месенджера публічно попередила про такий тип атак місяць тому.
Що зробити, щоб захистити акаунт
Ключовий захист від цієї атаки - не передавати нікому ключ відновлення резервних копій та реєстраційний PIN, навіть якщо повідомлення виглядає офіційно. Також варто увімкнути функцію Registration Lock у налаштуваннях Signal - вона вимагає введення окремого PIN при спробі зареєструвати номер телефону на новому пристрої. Це унеможливлює несанкціоновану прив'язку пристроїв.
Ширший контекст атак на Signal відомий з початку року. ФБР і CISA приєдналися до європейських спецслужб із попередженнями про кампанії проти месенджерів. Мета зловмисників - не зламувати наскрізне шифрування, а обійти його, заволодівши доступом до конкретного акаунту.
За висновками дослідників, операція узгоджується з масштабнішою кампанією, яку нідерландські спецслужби AIVD і MIVD пов'язали з російськими державними акторами. Шифрування Signal при цьому не зламується - зловмисники обходять його через функцію прив'язки пристроїв. Так вони отримують ті самі повідомлення, що й легітимний користувач.
Фішинг під виглядом офіційних структур - стала тенденція
Шахрайство через імітацію офіційних установ стало поширеною тактикою в Україні. Зловмисники прикидаються співробітниками СБУ та інших правоохоронних органів, телефонують громадянам і вимагають гроші під загрозою вигаданого кримінального переслідування. Слідом за телефонними дзвінками в хід ішли фейкові документи та особистий тиск - такі схеми фіксувало й офіційно підтвердило відомство.
Окремо поширилися фішингові розсилки електронною поштою від імені державних служб. Так, Державна податкова служба попереджала про масові фейкові листи з вимогою терміново погасити неіснуючий борг за підозрілим посиланням. Спільний знаменник усіх цих схем - імітація авторитетного джерела й тиск на жертву, щоб змусити її діяти швидко та необдумано.
Слідкуйте за нами у Telegram
