Кіберзлочинці розгорнули нову хвилю фішингових атак проти користувачів месенджера Signal — їхня мета — заволодіти секретним ключем відновлення, який дозволяє розкривати резервні онлайн-копії переписки. Подібні прийоми для викрадення акаунтів у месенджерах вже застосовувалися раніше, зокрема в Telegram. Серед підтверджених жертв цієї кампанії — журналісти та правозахисні активісти. На відміну від атак у реальному часі, цього разу зловмисники сконцентрувалися на архівах повідомлень.
Про кампанію стало відомо після того, як аналітик Washington Post Джош Роґін опублікував скриншот підозрілого повідомлення у Signal. За даними TechCrunch, кілька антикитайських активістів отримали ідентичні фішингові повідомлення. Мохаммед Аль-Масказі, директор Digital Security Helpline в організації Access Now, повідомив, що ще двоє постраждалих не пов’язані з китайськими активістами — це свідчить про ширше охоплення атаки або про те, що різні угруповання хакерів застосовують однакові методи.
Схема атаки проста: зловмисники надсилають у Signal повідомлення нібито від техпідтримки, попереджаючи про проблеми з синхронізацією та можливу втрату даних. Для «виправлення» ситуації вони просять користувача надіслати секретний ключ відновлення. Отримавши цей ключ, зловмисники можуть отримати доступ до старих повідомлень, фото та документів, що зберігаються у резервній копії. Аль-Масказі уточнює, що крадіжка ключа — лише один етап: для повного захоплення контролю над акаунтом зловмисники також повинні запанувати над самим обліковим записом.
У Signal наголошують, що служба підтримки ніколи не ініціює контакт першою і ніколи не просить надсилати реєстраційний код, PIN чи ключ відновлення. Отже, будь-яке повідомлення з підписом «Signal Support» у чаті слід вважати фішингом. Адміністрація месенджера публічно попереджала про такі типи атак ще місяць тому.
Що робити, щоб захистити акаунт
Найважливіший захід — нікому не передавати ключ відновлення резервних копій та реєстраційний PIN, навіть якщо повідомлення виглядає дуже правдоподібно. Рекомендується також увімкнути функцію Registration Lock у налаштуваннях Signal: вона вимагає введення окремого PIN для реєстрації номера на новому пристрої і ускладнює несанкціоновану прив’язку девайсів.
Ширший контекст атак на Signal простежується з початку року: ФБР і CISA спільно з європейськими спецслужбами неодноразово попереджали про масштабні кампанії проти месенджерів. Мета зловмисників — не зламати наскрізне шифрування, а обійти його, заволодівши доступом до конкретного акаунта.
Дослідження вказують, що операція узгоджується з ширшою кампанією, яку нідерландські спецслужби AIVD і MIVD пов’язали з російськими державними акторами. При цьому шифрування Signal залишається непошкодженим: зловмисники обходять захист через механізм прив’язки пристроїв, отримуючи ті самі повідомлення, що й легітимний користувач.
Фішинг під виглядом офіційних структур — стала тенденція
Імітація офіційних установ стала поширеною тактикою в Україні. Злочинці видають себе за працівників СБУ та інших правоохоронних органів, телефонують громадянам і вимагатимуть гроші під загрозою вигаданого кримінального переслідування. Після телефонних дзвінків використовують підроблені документи та психологічний тиск — такі схеми фіксували й підтверджували в офіційних відомствах.
Окремо набули поширення фішингові розсилки електронною поштою від імені державних служб. Наприклад, Державна податкова служба попереджала про масові підроблені листи з вимогою терміново погасити неіснуючий борг за підозрілим посиланням. Загальний принцип усіх цих схем — маскування під авторитетний джерело та створення тиску на жертву, щоб змусити її діяти швидко і необдумано.
