Totul a început miercuri, când analistul Josh Rogin de la Washington Post a postat o captură de ecran cu un mesaj suspect primit pe Signal. În acel mesaj, atacatorii se dădeau drept echipa de suport a aplicației și avertizau victima că „chat-urile și fișierele media salvate în backup sunt în pericol de a fi pierdute definitiv din cauza unei probleme de sincronizare”. Pentru a evita acest lucru, utilizatorul era rugat să partajeze cheia de recuperare – exact ceea ce le-ar permite hackerilor să acceseze toate datele stocate în cloud.
„Aceasta leagă backup-ul existent de contul tău. Nerespectarea acestei instrucțiuni poate duce la pierderea accesului la cont și la toate datele stocate”, scria în mesajul fals, semnat de un cont numit „Signal Support”. Rogin a precizat că mai mulți activiști anti-Partidul Comunist Chinez au primit acest mesaj rău intenționat.
Mohammed Al-Maskati, directorul liniei de asistență digitală a organizației Access Now, care investighează atacurile cibernetice împotriva jurnaliștilor, disidenților și activiștilor pentru drepturile omului, a declarat pentru TechCrunch că două persoane i-au trimis mesaje similare. Interesant este că acestea nu erau activiști chinezi, ceea ce sugerează că atacul ar putea fi mult mai răspândit și ar putea viza și alte comunități. De asemenea, este posibil ca mai multe grupuri de hackeri să folosească aceeași strategie.
Nu este clar cât de eficientă a fost această campanie. Al-Maskati a explicat că furtul cheii de recuperare este doar primul pas; hackerii trebuie apoi să preia controlul asupra contului victimei. În general, acest tip de atac se bazează pe phishing, adică pe inducerea în eroare a utilizatorilor pentru a le furniza informații sensibile. În acest caz particular, hackerii se folosesc de încrederea pe care oamenii o au în Signal și în echipa sa de suport.
Este esențial de reținut că Signal afirmă clar că „nu va contacta niciodată utilizatorii primii” și că nu va cere niciodată codul de înregistrare, PIN-ul sau cheia de recuperare. Așadar, orice chat care pretinde că vine de la „Signal Support” este, de fapt, o încercare de fraudă. Organizația a avertizat public despre acest tip exact de atac în luna precedentă.
Deși au existat mai multe campanii de hackeri care s-au dat drept suport Signal în ultimele luni, aceasta este o nouă variantă, deoarece vizează în mod specific copiile de rezervă. Acestea pot conține conversații vechi, fotografii și documente importante. Anterior, atacurile vizau preluarea contului și apoi impersonarea victimei, cu scopul de a fura contacte sau de a începe conversații în numele acesteia. În acele cazuri, hackerii nu aveau acces la mesajele vechi, deoarece reînregistrarea contului pe un dispozitiv nou nu transferă istoricul conversațiilor.
Hackerii pot prelua conturile Signal prin deturnarea numărului de telefon, de exemplu. Dar Signal oferă funcții de securitate opționale, cum ar fi Registration Lock, care împiedică atacatorii să lege numărul victimei de un dispozitiv nou fără a fura și PIN-ul. În acest scenariu, o modalitate de a vedea mesajele vechi ar fi accesarea backup-ului online, care necesită cheia de recuperare.
Anul trecut, Signal a lansat Secure Backups, o funcție opțională care permite utilizatorilor să încarce conținutul contului pe serverele Signal, criptat cu o cheie de recuperare despre care organizația spune că „nu este niciodată partajată cu serverele Signal” și „nu părăsește niciodată” dispozitivul utilizatorului. Signal recomandă ca această cheie să fie stocată în siguranță, într-un caiet sau într-un manager de parole.
„Fără cheia ta unică de recuperare, nimeni (inclusiv Signal) nu poate citi, decripta sau restaura niciunul dintre datele din arhiva ta de backup securizat”, a declarat Signal. Asta înseamnă că doar utilizatorul poate accesa arhiva atunci când își înregistrează contul pe un telefon nou, descarcă backup-ul criptat de pe serverele Signal și îl decriptează cu cheia de recuperare.
De ce este important:
Acest atac demonstrează că hackerii devin din ce în ce mai creativi și vizează nu doar conturile, ci și datele istorice ale utilizatorilor. Pentru jurnaliști, activiști și disidenți, pierderea copiilor de rezervă poate însemna expunerea unor informații extrem de sensibile. Deși Signal rămâne una dintre cele mai sigure aplicații de mesagerie, utilizatorii trebuie să fie vigilenți și să nu ofere niciodată cheia de recuperare nimănui. Este crucial ca toți cei care folosesc Signal să activeze funcțiile de securitate suplimentare, cum ar fi Registration Lock, și să fie conștienți că echipa de suport nu va cere niciodată astfel de informații. În era amenințărilor cibernetice tot mai sofisticate, educația și precauția sunt cele mai bune arme.
