Хакери націлилися на користувачів месенджера Signal і намагаються викрасти їхні резервні копії чатів у межах нової хакерської кампанії.
У середу аналітик Washington Post Джош Роґін опублікував скриншот нового виду атаки на користувачів Signal. У ній зловмисники видають себе за службу підтримки застосунку й попереджають жертву, що її резервні чати та медіафайли «під загрозою остаточної втрати через помилку синхронізації». Щоб цього уникнути, у повідомленні вимагають поділитися в чаті ключем відновлення, який використовується для доступу до онлайн-резервних копій.
«Це пов’язує вашу наявну резервну копію з обліковим записом. Якщо ви цього не зробите, можете втратити доступ до облікового запису та всіх збережених даних», — йдеться в повідомленні, яке начебто надходить від акаунта з назвою Signal Support.
За словами Роґіна, це зловмисне повідомлення отримали кілька активістів, які виступають проти Комуністичної партії Китаю.
Мохаммед Аль-Маскаті, директор Гарячої лінії цифрової безпеки Access Now, яка розслідує кібератаки проти журналістів, дисидентів та правозахисників, розповів TechCrunch, що двоє людей надіслали йому схожі повідомлення. За його словами, ці двоє не є китайськими активістами. Це свідчить, що кампанія може бути ширшою й націленою на інші спільноти, або ж що різні групи хакерів використовують однакову тактику.
Невідомо, наскільки ефективною є ця кампанія. Аль-Маскаті пояснив, що викрадення ключів відновлення резервних копій чатів — лише один етап атаки, і хакерам усе одно потрібно захопити обліковий запис жертви.
Загалом, подібні атаки базуються на фішингу — обмані користувачів з метою змусити їх розкрити важливу приватну інформацію. У цьому випадку зловмисники прикидаються службою підтримки Signal, щоб скористатися довірою до застосунку та організації, що стоїть за ним.
Варто пам’ятати, що Signal стверджує: сервіс «ніколи не зв’язується з користувачами першим» і ніколи не просить їхній реєстраційний код, PIN чи ключ відновлення. Це означає, що будь-який чат від імені «Signal Support» насправді надходить від зловмисників. Минулого місяця організація публічно попереджала саме про такий тип атаки.
Хоча за останні місяці вже фіксувалися кампанії, в яких хакери видавали себе за підтримку Signal, ця атака є новим різновидом, оскільки спеціально націлена на резервні копії. Вони можуть містити старі чати, фотографії та документи жертви.
Попередні кампанії проти користувачів Signal були спрямовані на захоплення їхніх акаунтів і подальше видавання себе за власників. Метою часто було викрадення контактів жертви або початок листування з іншими людьми від її імені. У таких випадках хакери не отримують доступу до минулих повідомлень, адже атаки ґрунтуються на повторній реєстрації облікового запису жертви на пристрої, який контролюють зловмисники. Через особливості роботи Signal старі повідомлення не відображаються на новому пристрої.
Хакери можуть перехопити обліковий запис Signal, наприклад, викравши номер телефону користувача. Але Signal пропонує додаткові опційні функції безпеки, що захищають від таких атак, зокрема Registration Lock. Вона не дозволяє прив’язати номер жертви до нового пристрою, якщо зловмисники не заволоділи її PIN-кодом.
У такому сценарії одним із небагатьох способів отримати старі повідомлення є доступ до онлайн-резервної копії, що потребує ключа відновлення.
Торік Signal запустив функцію Secure Backups — нову опцію, яку потрібно вмикати вручну. Вона дозволяє завантажувати вміст облікового запису на сервери Signal у зашифрованому вигляді за допомогою ключа відновлення. Організація стверджує, що цей ключ «ніколи не передається на сервери Signal» і «ніколи не залишає пристрій користувача». Signal радить зберігати ключ відновлення в безпечному місці — у записнику або менеджері паролів.
«Без вашого унікального ключа відновлення ніхто (включно із Signal) не може прочитати, розшифрувати чи відновити будь-які дані з вашого Secure Backup Archive», — зазначає Signal.
Це означає, що доступ до архіву має лише користувач, коли він реєструє обліковий запис на новому телефоні, завантажує зашифровану резервну копію з серверів Signal і розшифровує її своїм ключем відновлення.
Signal не відповів на запит про коментар.