La Russia accusata di attacchi di phishing su Signal contro funzionari tedeschi
La Germania ha ufficialmente attribuito a soggetti finanziati dallo Stato russo una sofisticata campagna di phishing, dopo che centinaia di obiettivi di alto profilo, tra cui ministri federali, membri del Bundestag e diplomatici, hanno subito la compromissione dei propri account Signal. Il Procuratore Federale tedesco ha aperto un'indagine formale per spionaggio, definendo l'incidente come una delle intrusioni informatiche sostenute da uno Stato più significative ai danni di figure politiche tedesche nella memoria recente.
L'attacco non ha violato la crittografia di Signal. Ha invece sfruttato qualcosa di molto più difficile da correggere: la fiducia umana.
Come ha funzionato l'attacco di phishing su Signal
Gli aggressori si sono spacciati per personale di supporto di Signal, inviando messaggi falsi che inducevano i bersagli a consegnare i propri codici di verifica dell'account. Una volta in possesso di quei codici, gli hacker potevano collegare gli account Signal delle vittime a dispositivi controllati dagli aggressori, ottenendo accesso completo alle conversazioni private e alle liste dei contatti, in tempo reale, senza mai dover violare la crittografia sottostante dell'app.
Questa tecnica è nota come dirottamento tramite dispositivo collegato, ed è particolarmente pericolosa perché Signal, per sua natura, non richiede una password per leggere i messaggi una volta che un account è collegato. La crittografia che rende Signal così affidabile tra giornalisti, attivisti e funzionari governativi viene di fatto aggirata nel momento in cui un aggressore controlla un dispositivo collegato.
La lezione qui non è che Signal sia insicuro. È che nessuno strumento di sicurezza, per quanto ben progettato, può proteggere un utente che viene ingannato e indotto a cedere le proprie credenziali.
Perché le app cifrate non sono sufficienti da sole
Questo attacco illustra una lacuna critica nel modo in cui molte persone, inclusi professionisti che dovrebbero saperne di più, concepiscono la sicurezza digitale. Le app di messaggistica cifrata proteggono i dati in transito. Non proteggono contro il social engineering, gli endpoint compromessi o la manipolazione a livello di account.
Gli attori delle minacce sponsorizzati dagli Stati, in particolare quelli con risorse significative e pazienza operativa, tendono a prendere di mira il livello umano proprio perché il livello tecnico è così difficile da penetrare. È molto più facile convincere qualcuno a consegnare un codice di verifica che non violare la crittografia moderna.
È per questo che i professionisti della sicurezza raccomandano costantemente difese a più livelli piuttosto che affidarsi a un unico strumento. Ogni livello aggiuntivo di protezione costringe un aggressore a superare un ostacolo in più e, nella pratica, la maggior parte degli aggressori preferirà passare a obiettivi più facili piuttosto che sprecare risorse su uno ben protetto.
Cosa significa per te
La maggior parte delle persone che leggono questo articolo non sono ministri federali tedeschi. Ma le tattiche utilizzate in questa campagna non sono esclusive di obiettivi governativi di alto valore. Gli attacchi di phishing che si spacciano per app e servizi popolari sono tra le minacce più comuni che gli utenti comuni si trovano ad affrontare, e il furto di identità di Signal è stato documentato in più paesi negli ultimi due anni.
Ecco ciò che il caso tedesco chiarisce a chiunque si affidi alla messaggistica cifrata per comunicazioni sensibili:
I codici di verifica sono le chiavi del tuo account. Nessun servizio legittimo, incluso Signal, ti chiederà mai di condividere un codice di verifica tramite un messaggio in chat o un'email. Se qualcuno te lo chiede, la richiesta è fraudolenta, senza eccezioni.
I dispositivi collegati sono una reale superficie di attacco. Verificare periodicamente i dispositivi collegati al proprio account Signal (disponibile nelle Impostazioni sotto Dispositivi collegati) richiede circa trenta secondi e può rivelare accessi non autorizzati prima che venga causato un danno significativo.
L'autenticazione a due fattori aggiunge una barriera significativa. Signal offre una funzione chiamata Blocco di registrazione, che richiede un PIN prima che il tuo account possa essere registrato nuovamente su un nuovo dispositivo. Attivarla è uno dei passaggi più semplici ed efficaci che tu possa compiere. Più in generale, utilizzare un'app di autenticazione anziché gli SMS per il 2FA su tutti gli account aumenta significativamente il costo di una presa di controllo dell'account per un aggressore.
La sicurezza del dispositivo conta quanto la sicurezza dell'app. Se il dispositivo su cui gira Signal è compromesso tramite malware o accesso fisico, la crittografia offre poca protezione. Mantenere aggiornati i sistemi operativi, utilizzare PIN o biometria forti e non installare app da fonti non ufficiali riduce sostanzialmente questo rischio.
La consapevolezza a livello di rete conta. Accedere ad account sensibili su reti pubbliche non attendibili crea un'esposizione aggiuntiva. Una VPN affidabile può ridurre il rischio di intercettazione del traffico quando non si è su una rete di cui si ha il controllo, anche se rappresenta uno dei tanti livelli e non una soluzione completa.
Il quadro generale
L'attacco di phishing su Signal in Germania è un promemoria del fatto che la crittografia più forte del mondo non può compensare una cultura della consapevolezza della sicurezza assente. Quando attori statali sofisticati sono disposti a investire in campagne di social engineering paziente e mirato contro legislatori e diplomatici, gli utenti comuni che gestiscono informazioni personali o professionali sensibili si trovano di fronte a una versione simile, seppur meno strutturata, della stessa minaccia.
La risposta non è il panico, né l'abbandono di strumenti come Signal, che rimane una delle opzioni di messaggistica più sicure disponibili. La risposta è sviluppare abitudini e difese a più livelli che rendano il social engineering più difficile da attuare. Controlla i tuoi dispositivi collegati, attiva i blocchi di registrazione, tratta le richieste non sollecitate di codici di verifica come segnali d'allarme automatici e considera la tua postura di sicurezza come una serie di protezioni sovrapposte piuttosto che come un'unica app che svolge tutto il lavoro.
