FBI avertizează: hackerii ruși fură chei Signal pentru a citi mesaje, chiar și după schimbarea telefonului
FBI și CISA au actualizat avertismentul privind atacurile de phishing ale serviciilor secrete ruse, care conving victimele să predea cheia de recuperare Signal, permițând accesul la istoricul mesajelor și preluarea contului.
FBI și CISA au actualizat avertismentul din martie privind atacurile de phishing orchestrate de serviciile secrete ruse asupra conturilor Signal. Noua metodă implică convingerea victimelor să predea cheia de recuperare a copiilor de rezervă, oferind atacatorilor acces complet la istoricul mesajelor private și de grup, precum și controlul asupra contului.
Cum funcționează atacul
Potrivit avizului actualizat, predarea cheii o singură dată le permite hackerilor să restaureze copia de rezervă a contului și să citească întregul istoric al mesajelor. Cheia continuă să funcționeze chiar și după ce victima își schimbă telefonul. Dacă ținta își creează un cont nou pe același număr, vechea cheie poate fi folosită pentru a accesa copiile de rezervă viitoare.
Singura soluție este generarea unei chei noi din setările aplicației Signal, ceea ce invalidează cheia veche pentru descărcările viitoare, dar nu recuperează informațiile deja extrase de atacatori.
Grupurile implicate și țintele vizate
Avizul adaugă două denumiri noi: UNC5792 și UNC4221. FBI leagă activitatea de mai multe grupuri ale serviciilor de informații rusești, inclusiv ofițeri FSB infiltrați în Garda de Frontieră a FSB și alții care lucrează pentru armata rusă. Campania vizează atât Signal, cât și WhatsApp, dar tactica cheii de recuperare este specifică Signal.
Țintele sunt persoane cu „valoare ridicată din punct de vedere al informațiilor”: oficiali guvernamentali americani și internaționali, personal militar, personalități politice, jurnaliști și oficiali ucraineni. Avizul din martie menționa că această campanie compromisese deja mii de conturi la nivel mondial.
Metode de phishing și inginerie socială
Mesajele de phishing se prezintă ca fiind de la serviciul de asistență Signal. Versiunile anterioare solicitau coduri de verificare SMS și coduri PIN, foloseau linkuri false de „invitație în grup”. Versiunea actualizată îndrumă țintele să activeze copiile de rezervă, să deschidă ecranul cheii de recuperare și să copieze cheia în chat.
FBI a publicat exemple de mesaje: unul deghizat în implementare obligatorie a autentificării în doi factori, altul ca soluție urgentă de „recuperare a datelor”. Ambele sunt atacuri de inginerie socială care exploatează încrederea în interfața platformei, nu vulnerabilități tehnice.
Protecția oferită de criptare și recomandări
Agențiile subliniază că aceste tehnici nu compromit criptarea Signal sau aplicația în sine. Atacatorii compromit conturile prin inginerie socială, exploatând o funcționalitate legitimă. Criptarea end-to-end protejează mesajele în tranzit, dar nu poate proteja utilizatorii care predau cheile.
Oricine primește un mesaj în Signal prin care i se solicită o cheie de recuperare, un cod de verificare sau un cod PIN ar trebui să îl trateze ca ostil. Signal nu trimite astfel de solicitări din aplicație.
