Фишинговые атаки с целью кражи ключа резервного копирования Signal нацелены на архивы сообщений

Фишинговые атаки с целью кражи ключа резервного копирования Signal нацелены на архивы сообщений

Новая волна фишинговых атак нацелена на пользователей Signal особенно эффективным способом: преступники выдают себя за службу поддержки Signal, чтобы выманить у людей ключи восстановления резервных копий, давая злоумышленникам полный доступ к зашифрованным архивам сообщений жертв. Эта фишинговая кампания по краже ключа резервного копирования Signal подчёркивает суровую правду о приложениях для безопасного общения: технология может быть математически невзламываемой, но использующий её человек остаётся абсолютно уязвимым.

Это не уязвимость в шифровании Signal. Это напоминание о том, что социальная инженерия неизменно опережает техническую защиту, и даже самые бдительные пользователи могут быть застигнуты врасплох, когда правдоподобно звучащий источник запрашивает учётные данные.

Как работает мошенничество с выдачей себя за службу поддержки Signal

Атака следует знакомому сценарию фишинга, применённому к необычайно ценной цели. Злоумышленники связываются с пользователями Signal через SMS, социальные сети или даже через сам Signal, представляясь сотрудниками службы поддержки Signal. Сообщения обычно преподносят запрос как срочный, ссылаясь на проверку аккаунта, проблему безопасности или необходимую миграцию резервной копии.

Цель всегда одна: выведать у жертвы 64-символьный ключ восстановления резервной копии. Функция защищённых резервных копий Signal шифрует архивы сообщений этим ключом, который никогда не передаётся на собственные серверы Signal. Такая архитектура призвана защищать приватность пользователей. В данном же контексте она становится уязвимостью, потому что ключ — единственное, что отделяет злоумышленника от полной, читаемой копии истории переписки.

Заполучив ключ восстановления, злоумышленник может самостоятельно скачать и расшифровать архив резервной копии. Никакой дополнительной аутентификации не требуется. В результате он получает полный доступ ко всем сообщениям в архиве, включая контакты, групповые чаты и вложения, причём жертва никак не может узнать, что доступ состоялся.

Signal публично подтвердил, что никогда не инициирует контакты с пользователями по телефону, SMS или через социальные сети и никогда не запрашивает PIN-код или ключ восстановления. Эта политика однозначна, но её легко упустить из виду в убедительно составленном сообщении.

Почему украденный ключ резервной копии опаснее взломанного пароля

Большинство людей понимает, что украденный пароль — это серьёзно. Гораздо меньше осознают, что украденный ключ восстановления резервной копии может быть ещё хуже, потому что он обходит почти все современные уровни защиты учётной записи.

Когда злоумышленник крадёт пароль, он всё равно сталкивается с потенциальными барьерами: двухфакторная аутентификация, оповещения о входе в систему, верификация устройства или блокировка учётной записи. Ключ восстановления резервной копии не предусматривает ни одной из этих проверок. Это статичный криптографический секрет, который напрямую расшифровывает архивные данные. Злоумышленнику не нужно трогать ваш аккаунт, номер телефона или активную сессию. Ущерб наносится в офлайн-режиме, незаметно и часто без каких-либо уведомлений жертве.

Именно поэтому пользователи Signal всё чаще подвергаются компрометации способами, не имеющими отношения к шифрованию приложения. Шифрование надёжно. Проблема в том, что происходит, когда пользователей манипулятивно вынуждают отдать ключи, которые его защищают.

Сравните это с фишинговой кампанией, связанной с Россией и нацеленной на немецких чиновников через Signal. В том случае спонсируемые государством субъекты использовали тот же базовый метод — выдавали себя за доверенные организации, чтобы получить доступ к коммуникациям в Signal. Уровень изощрённости атакующего меняется, но используемая уязвимость остаётся неизменной: человеческое доверие.

Что эти атаки показывают о том, что нельзя полагаться исключительно на зашифрованные мессенджеры

Постоянство и результативность фишинговых атак по краже ключа резервного копирования Signal обнажают более широкую проблему в том, как люди воспринимают инструменты защищённой коммуникации. Стойкое шифрование создаёт ощущение безопасности, которое не всегда распространяется на сопутствующие практики защиты.

Пользователи, выбирающие Signal из-за его шифрования, часто менее требовательно относятся к привычкам управления аккаунтом, настройкам резервного копирования и к тому, как они реагируют на неожиданные запросы от служб поддержки. Именно эту брешь и используют злоумышленники. Приложение становится всей стратегией безопасности, а не одним из уровней в более широком подходе.

Схожие модели проявлялись и на других платформах обмена сообщениями. Утечка учётных данных WhatsApp, обнажившая миллионы пользовательских записей, следовала сопоставимой логике: слабым местом были не функции безопасности платформы, а пользовательские учётные данные и практики управления аккаунтами.

Это не означает, что зашифрованные мессенджеры не стоит использовать. Они абсолютно стоят того. Это означает, что шифрование — это фундамент, а не предел, и что пользователям необходимо выстраивать привычки безопасности поверх него.

Практическая защита: многофакторная аутентификация, VPN и распознавание признаков социальной инженерии

Чтобы защититься от фишинга, направленного на кражу ключа резервного копирования Signal, нужны как технические меры, так и изменение реакции на незапрошенные контакты.

Начните с настроек резервного копирования Signal. Если вы пользуетесь защищёнными резервными копиями, обращайтесь со своим 64-символьным ключом восстановления как с мастер-паролем: храните его офлайн, в надёжном месте, и никому не передавайте, как бы ни был оформлен запрос. Сотрудники Signal никогда не попросят его.

Включите PIN-код Signal и «Блокировку регистрации», чтобы предотвратить несанкционированную перерегистрацию аккаунта на новом устройстве. Это не защищает ключ резервной копии напрямую, но закрывает ещё один распространённый вектор атаки.

Помимо самого Signal, настройте многофакторную аутентификацию для аккаунтов, связанных с номером телефона или почтой, привязанными к профилю Signal. Поскольку Signal использует номера телефонов для регистрации, атака с подменой SIM-карты или компрометация номера телефона могут создать дополнительную уязвимость. Аутентификация на основе токенов добавляет значительный уровень препятствий для злоумышленников, пытающихся захватить учётную запись через смежные сервисы.

Использование VPN в сетях за пределами дома добавляет ещё один уровень защиты, маскируя трафик и снижая заметность вашего устройства и активности в интернете для потенциальных атакующих, ведущих разведку перед целенаправленной фишинговой атакой.

Но самая важная защита — это скептическое отношение к любым незапрошенным контактам. Любое сообщение, якобы отправленное службой поддержки Signal, с просьбой подтвердить учётные данные, назвать ключ восстановления или перейти по ссылке для решения проблемы с аккаунтом, по умолчанию должно расцениваться как фишинговая попытка. Легитимные службы поддержки так не работают.

Что это значит для вас

Кампания фишинговых атак с кражей ключа резервного копирования Signal — это конкретное напоминание о том, что ни один инструмент, каким бы качественно спроектированным он ни был, не обеспечивает полной защиты пользователям, не выстроившим вокруг него правильные привычки. Шифрование Signal остаётся надёжным. Риск заключается в том, как управляются и защищаются ключи к этому шифрованию.

Уделите время сейчас, чтобы проверить настройки Signal, убедиться, где хранится ваш ключ восстановления резервной копии, и пересмотреть общее состояние безопасности ваших учётных записей. Поделитесь этой информацией с людьми в вашем окружении, которые пользуются Signal, особенно с теми, кто, возможно, не следит внимательно за новостями о безопасности. Социальная инженерия лучше всего работает против тех, кто не знает, что она надвигается.