Жінка зі смартфоном
Кіберзловмисники розгорнули чергову хвилю фішингових кампаній проти користувачів месенджера Signal. Шахраї прагнуть отримати секретний відновлювальний ключ, який надає доступ до онлайн-резервних копій листування. Схожі методи викрадення облікових записів у месенджерах вже траплялися раніше – подібний підхід зловмисники успішно застосували в Telegram. Серед ідентифікованих жертв цієї нової операції – журналісти та громадські активісти. Цього разу зловмисники обрали інший шлях: замість захоплення облікового запису в режимі реального часу, вони націлені на архів повідомлень.
Шахрайське повідомлення
Про ці атаки стало відомо після того, як аналітик Washington Post Джош Роґін опублікував скріншот обманного повідомлення в Signal. За даними TechCrunch, декілька прокитайських активістів отримали ідентичні фішингові повідомлення. Мохаммед Аль-Масказі, директор Digital Security Helpline в організації Access Now, повідомив, що ще двоє постраждалих не мають жодного стосунку до китайських активістів, що свідчить про ширше охоплення кампанії або про використання однієї тактики різними групами хакерів.
Принцип дії атаки полягає в наступному: зловмисники надсилають у Signal повідомлення, видаючи себе за службу технічної підтримки, та попереджають про проблеми з синхронізацією та ризик втрати всіх даних. Для “вирішення” цієї проблеми вони просять надати їм секретний ключ відновлення. Якщо хакерам вдасться отримати цей ключ, вони отримають доступ до всіх попередніх повідомлень, зображень та документів, які зберігаються у резервній копії. Аль-Масказі уточнив, що викрадення ключа є лише першим етапом атаки: для повного контролю над обліковим записом зловмисникам необхідно отримати доступ і до самого облікового запису.
Signal стверджує, що служба підтримки месенджера ніколи не ініціює контакт з користувачами і ніколи не запитує реєстраційний код, PIN-код або ключ відновлення. Таким чином, будь-яке повідомлення від “Signal Support” у чаті є фішинговим. Адміністрація месенджера публічно попереджала про цей тип атак ще місяць тому.
Як захистити свій обліковий запис
Основним методом захисту від цієї атаки є категорична відмова від передачі ключа відновлення резервних копій та реєстраційного PIN-коду будь-кому, навіть якщо повідомлення виглядає офіційним. Також рекомендується активувати функцію Registration Lock у налаштуваннях Signal. Ця функція вимагає введення окремого PIN-коду під час спроби зареєструвати номер телефону на новому пристрої, що унеможливлює несанкціоноване прив’язування пристроїв.
Загальний контекст атак на Signal відомий з початку поточного року. Федеральне бюро розслідувань (ФБР) та Кібербезпекове агентство США (CISA) приєдналися до європейських спецслужб, видавши попередження про кампанії, спрямовані проти месенджерів. Метою зловмисників є не зламування наскрізного шифрування, а його обхід шляхом отримання доступу до конкретного облікового запису.
Згідно з висновками дослідників, ця операція відповідає більш масштабній кампанії, яку нідерландські спецслужби AIVD і MIVD пов’язали з державними суб’єктами Російської Федерації. Шифрування Signal при цьому не компрометується – зловмисники обходять його через функцію прив’язки пристроїв. Таким чином, вони отримують доступ до тих самих повідомлень, що й легітимний користувач.
Фішинг від імені офіційних установ – усталена практика
Шахрайство шляхом імітації офіційних організацій стало поширеною тактикою в Україні. Зловмисники вдають із себе співробітників Служби безпеки України (СБУ) та інших правоохоронних органів, телефонують громадянам і вимагають кошти під загрозою вигаданого кримінального переслідування. Після телефонних дзвінків почали використовуватися фальшиві документи та психологічний тиск – подібні схеми були зафіксовані та офіційно підтверджені відповідними відомствами.
Окремо спостерігаються масові фішингові розсилки електронною поштою від імені державних служб. Наприклад, Державна податкова служба попереджала про велику кількість фальшивих листів з вимогою терміново погасити неіснуючий борг за підозрілим посиланням. Спільним елементом усіх цих схем є імітація авторитетного джерела та тиск на жертву з метою змусити її діяти швидко та необдумано.