Фишинг атаки за ключ за възстановяване на архиви в Signal са насочени към архивите на съобщенията

Фишинг атаки за ключ за възстановяване на архиви в Signal са насочени към архивите на съобщенията

Нова вълна от фишинг атаки е насочена към потребителите на Signal по особено ефективен начин: престъпници се представят за поддръжка на Signal, за да подмамят хората да предадат своите ключове за възстановяване на архиви, предоставяйки на нападателите пълен достъп до шифрованите архиви на съобщенията на жертвите. Кампанията с фишинг атаки за ключ за възстановяване на архиви в Signal подчертава една сурова истина за приложенията за защитени съобщения: технологията може да бъде математически непробиваема, докато човекът, който я използва, остава напълно уязвим.

Това не е недостатък в шифроването на Signal. Това е напомняне, че социалното инженерство постоянно изпреварва техническите защити и че дори и най-внимателните към сигурността потребители могат да бъдат изненадани, когато някой, звучащ като доверен източник, поиска идентификационни данни.

Как работи измамата с имитиране на поддръжката на Signal

Атаката следва познат фишинг сценарий, приложен към необичайно високостойностна цел. Нападателите се свързват с потребителите на Signal чрез SMS, социални мрежи или дори през самия Signal, представяйки се за служители на поддръжката на Signal. Съобщенията обикновено представят искането като спешно, позовавайки се на проверка на акаунта, проблем със сигурността или необходимост от миграция на резервно копие.

Целта винаги е една и съща: извличане на 64-символния ключ за възстановяване на архиви на жертвата. Функцията за защитени резервни копия на Signal шифрова архивите на съобщенията с този ключ, който никога не се споделя със собствените сървъри на Signal. Този дизайн е предназначен да защити личните данни на потребителите. В този контекст той се превръща в уязвимост, защото ключът е единственото нещо, което стои между нападателя и пълно, четимо копие на историята на съобщенията на някого.

Веднъж щом нападателят разполага с ключа за възстановяване, той може самостоятелно да изтегли и дешифрира архивния файл. Не се изисква допълнително удостоверяване. Резултатът е пълен достъп до всяко съобщение в архива, включително контакти, групови чатове и прикачени файлове, без жертвата да има начин да разбере, че е осъществен достъп.

Signal публично потвърди, че никога няма да инициира контакт с потребителите по телефон, SMS или социални мрежи и че никога няма да поиска PIN или ключ за възстановяване. Тази политика е ясна, но е лесно да бъде пренебрегната в убедително формулирано съобщение.

Защо откраднатият ключ за възстановяване е по-опасен от хакната парола

Повечето хора разбират, че откраднатата парола е сериозен проблем. По-малко хора осъзнават, че откраднатият ключ за възстановяване на архиви може да бъде по-лош, защото заобикаля почти всички съвременни слоеве за защита на акаунта.

Когато нападателят открадне парола, той все още е изправен пред потенциални бариери: двуфакторно удостоверяване, известия за вход, проверка на устройството или заключване на акаунта. Ключът за възстановяване на архиви не носи нито една от тези контролни точки. Той е статично, криптографско удостоверение, което дешифрира архивираните данни директно. Нападателят не се нуждае от достъп до вашия акаунт, телефонния ви номер или активната ви сесия. Щетата се нанася офлайн, тихо и често без никакво уведомление до жертвата.

Ето защо потребителите на Signal все по-често биват компрометирани по начини, които нямат нищо общо с шифроването на приложението. Шифроването е надеждно. Проблемът е какво се случва, когато потребителите бъдат манипулирани да предадат ключовете, които го защитават.

Сравнете това с фишинг кампанията, свързана с Русия, насочена към германски служители чрез Signal. В този случай спонсорирани от държава актьори използваха същата основна техника – представяне за доверени субекти, за да получат достъп до комуникациите в Signal. Изтънчеността на нападателя се променя, но експлоатираната уязвимост остава постоянна: човешкото доверие.

Какво разкриват тези атаки за разчитането единствено на шифровани месинджъри

Постоянството и ефективността на фишинг атаките за ключ за възстановяване на архиви в Signal разкриват по-широк проблем с начина, по който хората мислят за инструментите за защитена комуникация. Силното шифроване създава усещане за безопасност, което невинаги обхваща съпътстващите практики за сигурност.

Потребителите, които разчитат на Signal заради неговото шифроване, често прилагат по-малко внимание към навиците за управление на акаунта, настройките за резервно копие и начина, по който реагират на неочаквани заявки за поддръжка. Именно тази празнина експлоатират нападателите. Приложението се превръща в цялата стратегия за сигурност, вместо да бъде един слой в по-широк подход.

Подобни модели се появиха и в други платформи за съобщения. Изтичането на потребителски данни в WhatsApp, което изложи милиони потребителски записи, последва сравнима логика: функциите за сигурност на платформата не бяха слабото място. Потребителските идентификационни данни и практиките за управление на акаунти бяха.

Това не означава, че шифрованите месинджъри не си струва да се използват. Определено си струват. Това означава, че шифроването е основа, а не таван, и че потребителите трябва да изградят навици за сигурност върху него.

Практически защити: MFA, VPN и разпознаване на червените флагове на социалното инженерство

Защитата от фишинг за ключ за възстановяване на архиви в Signal изисква както технически стъпки, така и промяна в начина, по който реагирате на непоискан контакт.

Започнете с настройките за резервно копие в Signal. Ако използвате функцията за защитени резервни копия на Signal, третирайте своя 64-символен ключ за възстановяване така, както бихте третирали главна парола: съхранявайте го офлайн, на сигурно място и никога не го споделяйте с никого, независимо как е формулирана заявката. Служителите на Signal никога няма да го поискат.

Активирайте Signal PIN и заключване на регистрацията, за да предотвратите неоторизирано пререгистриране на акаунта на ново устройство. Това не защитава директно ключа за възстановяване, но затваря друг често срещан вектор на атака.

Отвъд конкретно Signal, прилагайте многофакторно удостоверяване за акаунти, свързани с телефонния номер или имейла, асоциирани с вашия профил в Signal. Тъй като Signal използва телефонни номера за регистрация, атака със смяна на SIM карта или компрометиран телефонен номер може да създаде допълнителна уязвимост. Удостоверяването с токен добавя значителен слой на трудност за нападателите, опитващи да превземат акаунти чрез съседни услуги.

Използването на VPN в мрежи извън дома ви добавя още един слой на защита, като маскира трафика ви и намалява видимостта на вашето устройство и сърфираща активност за потенциални нападатели, извършващи разузнаване преди целенасочен фишинг опит.

Най-важната защита обаче е скептицизмът към непоискания контакт. Всяко съобщение, което твърди, че е от поддръжката на Signal, иска да потвърдите идентификационни данни, да потвърдите ключ за възстановяване или да кликнете върху връзка за разрешаване на проблем с акаунта, трябва по подразбиране да се третира като фишинг опит. Легитимните системи за поддръжка не работят по този начин.

Какво означава това за вас

Кампанията с фишинг атаки за ключ за възстановяване на архиви в Signal е конкретно напомняне, че никой инструмент, колкото и добре проектиран да е, не защитава напълно потребители, които не са изградили навици около него. Шифроването на Signal остава силно. Рискът е в това как се управляват и защитават ключовете към това шифроване.

Отделете време сега, за да одитирате настройките си в Signal, да потвърдите къде се съхранява вашият ключ за възстановяване на архиви и да прегледате по-широката си позиция по отношение на сигурността на акаунта. Споделете тази осведоменост с хората във вашата мрежа, които използват Signal, особено с тези, които може да не следят новините за сигурност отблизо. Социалното инженерство работи най-добре срещу хора, които не знаят, че идва.