Зловмисники активізували фішингову кампанію, націлену на користувачів месенджера Signal, з метою викрадення ключів доступу до резервних копій чатів, медіафайлів та документів. Про це повідомляє TechCrunch, посилаючись на аналітичні дані з The Washington Post, а також свідчення експертів з кібербезпеки.
Дослідники зазначають, що нова схема атак базується на соціальній інженерії. Хакери не намагаються зламати систему безпосередньо, а змушують самих користувачів передавати критичні дані. Вони видають себе за офіційну службу підтримки Signal і надсилають повідомлення, що виглядають як системні попередження про ризик втрати резервних копій через "помилки синхронізації" чи "проблеми з безпекою акаунта".
У таких сповіщеннях користувачам стверджують, що їхні зашифровані резервні копії можуть бути втрачені безповоротно, якщо не виконати певні дії терміново. Головна вимога полягає в передачі "ключа відновлення", який, як запевняють зловмисники, необхідний для зв'язування резервної копії з акаунтом чи відновлення доступу. Проте насправді цей ключ є єдиним засобом розшифрування резервних копій, а його передача третім особам відкриває доступ до зашифрованої інформації.
Хакери використовують формулювання, які створюють враження терміновості, наприклад, "Цей процес зв'яже вашу резервну копію з акаунтом. В іншому випадку ви ризикуєте втратити доступ до профілю та збережених даних". Зазвичай такі повідомлення надходять з акаунтів, назви яких схожі на офіційні, що додає легітимності.
Джош Рогін, журналіст The Washington Post, надав приклади таких звернень, які виявилися надісланими принаймні кільком активістам, що протистоять Комуністичній партії Китаю. Це може свідчити про цілеспрямованість атак на конкретні групи користувачів з підвищеним ризиком. Водночас фахівці відзначають, що аналогічні повідомлення отримували й люди, не пов'язані з політичним активізмом, що вказує на можливий широкий масштаб кампанії або на діяльність кількох груп кіберзлочинців.
Мохаммед Аль-Маскаті, директор служби цифрової безпеки Access Now, повідомив про появу подібних фішингових спроб серед інших користувачів, не пов'язаних із зазначеними цільовими групами. Це може вказувати на те, що кампанія розширюється або ж використовує готові шаблони, що застосовуються різними хакерськими угрупованнями.
Експерти зазначають, що атака має кілька етапів. Спочатку зловмисники отримують ключ відновлення через фішинг, а потім намагаються захопити акаунт, наприклад, через перехоплення телефонного номера. Лише поєднання цих дій дає хакерам можливість доступу до старих повідомлень і файлів, які зазвичай не відновлюються при вході в акаунт з нового пристрою.
Кіберексперти акцентують увагу на тому, що резервні копії в месенджерах стають все більш привабливими цілями для атак. Якщо раніше основною метою були акаунти для доступу до контактів, то нова функція резервного копіювання у Signal відкриває нові можливості — доступ до архівів листування, що містять значно більше чутливої інформації.
Мова йде про функцію Secure Backups, запущену Signal торік, яка дозволяє зберігати зашифровані резервні копії на серверах компанії за умови, що ключ відновлення зберігається тільки на пристрої користувача. Сам месенджер не має можливості доступу до цього ключа.
У Signal підкреслюють, що компанія ніколи не ініціює контакт з користувачами і не запитує коди реєстрації, PIN-коди чи ключі відновлення. Усі такі повідомлення слід розглядати як шахрайські. Попри це нова хвиля атак демонструє, як зловмисники використовують довіру користувачів до бренду та недостатню обізнаність щодо шифрування.
Експерти з кібербезпеки рекомендують користувачам не передавати ключі відновлення нікому, навіть якщо повідомлення здається офіційним, перевіряти джерела зв'язку через офіційні канали та застосовувати додаткові заходи захисту акаунтів, такі як блокування реєстрації на нових пристроях і використання унікальних PIN-кодів.
На даний момент Signal не коментує нову хвилю атак, але в експертному середовищі вважають, що такі кампанії можуть продовжувати еволюціонувати, адаптуючись до нових функцій месенджера та змін у політиці безпеки.
