Użytkownicy Signal na celowniku nowego ataku phishingowego wykorzystującego funkcję powiązanych urządzeń

Grupy cyberprzestępców zwiększają swoje wysiłki, aby przeniknąć do kont na Signalu, bezpiecznej aplikacji do wymiany wiadomości, używanej przez dziennikarzy, aktywistów i innych narażonych na inwigilację.

Te grupy cyberprzestępcze wykorzystują funkcję w Signal, która pozwala użytkownikom łączyć aplikację z wieloma urządzeniami jednocześnie, dążąc do uzyskania nieautoryzowanego dostępu do rozmów bez konieczności bezpośredniego włamania do urządzenia celu, jak to po raz pierwszy zgłosiła Grupa Inteligencji Zagrań Google (GTIG).

Signal, znany ze swojego silnego szyfrowania, od dawna jest popularnym wyborem dla osób zaniepokojonych prywatnością, w tym personelu wojskowego, polityków i dziennikarzy. Ale to także czyni go głównym celem dla cyberataków.

Artykuł twierdzi, że nowa fala ataków prawdopodobnie rozpoczęła się z powodu trwającej wojny na Ukrainie, gdzie Rosja ma wyraźny interes w przechwytywaniu wrażliwych komunikatów.

Kluczową techniką stosowaną przez tych napastników jest wykorzystanie legalnej funkcji „powiązane urządzenia” Signal, która pozwala użytkownikom na dostęp do swojego konta Signal na więcej niż jednym urządzeniu.

Zazwyczaj powiązanie urządzenia wymaga zeskanowania kodu QR, ale hakerzy tworzą złośliwe kody QR, które po zeskanowaniu, powiązują konto ofiary z urządzeniem kontrolowanym przez napastnika.

Badacze wyjaśniają, że kiedy atakujący połączy swoje urządzenie, mogą uzyskać dostęp do rozmów w czasie rzeczywistym, niezauważone przez innych.

W niektórych przypadkach, atakujący wysyłali fałszywe zaproszenia do grup Signal, alarmy bezpieczeństwa, a nawet wiadomości specjalnie skierowane do wojska, aby nakłonić użytkowników do skanowania złośliwych kodów QR. Wykorzystywali również strony phishingowe, które udawały aplikacje związane z ukraińskim wojskiem.

Niski profil tej metody sprawia, że jest trudna do wykrycia, a jeśli się powiedzie, może zapewnić długoterminowy dostęp do bezpiecznych komunikatów.

Naukowcy twierdzą, że jeszcze bardziej niepokojące jest to, że to podejście nie wymaga od hakerów całkowitego naruszenia urządzenia ofiary, co oznacza, że mogą podsłuchiwać rozmowy przez dłuższy czas bez wzbudzania podejrzeń.

Podczas gdy ataki były głównie skierowane przeciwko ukraińskiemu personelowi, zostały również wykorzystane przeciwko innym osobom, które mogły zainteresować Rosję. I choć głównym celem była aplikacja Signal, podobne taktyki są stosowane również przeciwko innym aplikacjom do wymiany wiadomości, takim jak WhatsApp i Telegram.

GTIG informuje, że Signal odpowiedział na te zagrożenia przez wzmocnienie funkcji bezpieczeństwa w najnowszych aktualizacjach, zachęcając użytkowników do uaktualnienia swojej aplikacji, aby lepiej bronić się przed tymi zagrożeniami.