Жінка зі смартфоном
Кіберзлочинці розгорнули нову серію фішингових атак, спрямованих на абонентів месенджера Signal. Зловмисники намагаються викрасти конфіденційний ключ відновлення, який надає доступ до хмарних резервних копій листування. Раніше вже були зафіксовані подібні схеми з компрометацією облікових записів у месенджерах, зокрема, шахраї успішно застосовували схожий підхід до Telegram. Серед ідентифікованих жертв актуальної кампанії — журналісти та громадські активісти. Цього разу кривдники обрали інший напрямок атаки: замість того, щоб захоплювати акаунт в реальному часі, вони ціляться в архів повідомлень.
Шахрайське повідомлення
Інформація про ці атаки стала відома завдяки аналітику The Washington Post, Джошу Роґіну, який опублікував скріншот шахрайського повідомлення в Signal. За даними TechCrunch, кілька активістів, які виступають проти політики Китаю, отримали ідентичні фішингові послання. Мохаммед Аль-Масказі, директор Digital Security Helpline в організації Access Now, повідомив, що ще двоє постраждалих не пов’язані з прокитайськими активістами, що свідчить про ширше охоплення цієї кампанії або про використання однакової тактики різними групами хакерів.
Принцип дії атаки полягає в наступному: зловмисники надсилають у Signal повідомлення, нібито від служби технічної підтримки, попереджаючи про збій синхронізації та потенційну втрату всіх даних. Для “вирішення” цієї проблеми вони вимагають надати їм секретний ключ відновлення. У разі отримання цього ключа, хакери отримують доступ до всіх попередніх повідомлень, фотографій та документів, які зберігаються у резервній копії. Аль-Масказі уточнив, що викрадення ключа є лише першим етапом атаки: для повного захоплення контролю зловмисникам також необхідно отримати доступ до самого облікового запису.
Signal запевнив, що їхня служба підтримки ніколи не зв’язується з користувачами першою і ніколи не запитує реєстраційний код, PIN-код або ключ відновлення. Отже, будь-яке повідомлення, отримане в чаті від “Signal Support”, є фішингом. Адміністрація месенджера публічно попереджала про подібний вид атак ще місяць тому.
Як забезпечити захист облікового запису
Ключовим елементом захисту від цієї атаки є заборона передачі ключа відновлення резервних копій та реєстраційного PIN-коду будь-кому, навіть якщо повідомлення виглядає офіційним. Рекомендується також активувати функцію Registration Lock в налаштуваннях Signal. Вона вимагає введення окремого PIN-коду при спробі зареєструвати номер телефону на новому пристрої, що унеможливлює несанкціоновану прив’язку пристроїв.
Більш загальний контекст атак на Signal відомий з початку року. ФБР та CISA приєдналися до європейських спецслужб, випустивши попередження про кампанії, спрямовані проти месенджерів. Мета зловмисників полягає не в зломі наскрізного шифрування, а в його обході шляхом отримання доступу до конкретного облікового запису.
Згідно з висновками дослідників, ця операція узгоджується з ширшою кампанією, яку нідерландські спецслужби AIVD та MIVD пов’язали з російськими державними суб’єктами. Шифрування Signal при цьому не порушується — зловмисники обходять його через функцію прив’язки пристроїв, отримуючи таким чином ті самі повідомлення, що й законний користувач.
Фішинг від імені офіційних установ — усталена тенденція
Шахрайство, що полягає в імітації офіційних установ, стало поширеною тактикою в Україні. Зловмисники видають себе за співробітників СБУ та інших правоохоронних органів, здійснюють телефонні дзвінки громадянам і вимагають гроші під загрозою вигаданого кримінального переслідування. Після телефонних дзвінків у хід ідуть фальшиві документи та особистий тиск — подібні схеми були зафіксовані та офіційно підтверджені відповідними відомствами.
Окремо спостерігається поширення фішингових розсилок електронною поштою від імені державних служб. Так, Державна податкова служба попереджала про масові фейкові листи з вимогою негайно сплатити неіснуючий борг за підозрілим посиланням. Спільним елементом усіх цих схем є імітація авторитетного джерела та психологічний тиск на жертву, щоб спонукати її до швидких та необдуманих дій.