Фішингові атаки на ключі резервного копіювання Signal націлені на архіви повідомлень

Фішингові атаки на ключі резервного копіювання Signal націлені на архіви повідомлень

Нова хвиля фішингових атак націлена на користувачів Signal особливо ефективним способом: зловмисники видають себе за службу підтримки Signal, щоб обманом змусити людей передати свої ключі відновлення резервних копій, надаючи атакуючим повний доступ до зашифрованих архівів повідомлень жертв. Кампанія фішингу з використанням ключів резервного копіювання Signal підкреслює сувору правду про застосунки для безпечного обміну повідомленнями: технологія може бути математично незламною, тоді як людина, яка нею користується, залишається повністю вразливою.

Це не вада шифрування Signal. Це нагадування про те, що соціальна інженерія постійно випереджає технічний захист, і що навіть найобережніші користувачі можуть бути захоплені зненацька, коли джерело, що викликає довіру, просить надати облікові дані.

Як працює шахрайство з імітацією служби підтримки Signal

Атака використовує знайомий фішинговий сценарій, застосований до надзвичайно цінної цілі. Зловмисники зв’язуються з користувачами Signal через SMS, соціальні мережі або навіть через сам Signal, видаючи себе за співробітників служби підтримки Signal. У повідомленнях зазвичай виставляють запит як терміновий, посилаючись на верифікацію облікового запису, проблему з безпекою або необхідну міграцію резервної копії.

Мета завжди одна й та сама: витягнути в жертви 64-символьний ключ відновлення резервної копії. Функція «Безпечні резервні копії» Signal шифрує архіви повідомлень цим ключем, який ніколи не передається на власні сервери Signal. Така конструкція покликана захищати приватність користувачів. У цьому контексті вона стає вразливістю, адже ключ — це єдине, що стоїть між зловмисником і повною, читабельною копією історії повідомлень.

Отримавши ключ відновлення, зловмисник може самостійно завантажити та розшифрувати архів резервної копії. Жодної додаткової автентифікації не потрібно. Як наслідок — повний доступ до кожного повідомлення в архіві, включно з контактами, груповими чатами та вкладеннями, без жодної можливості для жертви дізнатися про факт доступу.

Signal публічно підтвердив, що ніколи не ініціює контакт із користувачами через телефон, SMS чи соціальні мережі, і що ніколи не проситиме PIN-код або ключ відновлення. Це правило чітке, але його легко проігнорувати в переконливо написаному повідомленні.

Чому вкрадений ключ резервної копії небезпечніший за зламаний пароль

Більшість людей розуміє, що вкрадений пароль — це серйозно. Менше людей усвідомлює, що викрадений ключ відновлення резервної копії може бути гіршим, оскільки він оминає майже кожен сучасний рівень захисту облікового запису.

Коли зловмисник краде пароль, він усе ще стикається з потенційними бар’єрами: двофакторна автентифікація, сповіщення про вхід, верифікація пристрою або блокування облікового запису. Ключ відновлення резервної копії не має жодної з цих контрольних точок. Це статичний криптографічний обліковий запис, який безпосередньо розшифровує архівні дані. Зловмиснику не потрібно торкатися вашого облікового запису, номера телефону чи активного сеансу. Шкода завдається офлайн, тихо і часто без жодного сповіщення жертві.

Саме тому користувачів Signal дедалі частіше компрометують способами, не пов’язаними з шифруванням застосунку. Шифрування надійне. Проблема в тому, що відбувається, коли користувачів маніпулюють, змушуючи віддати ключі, які його захищають.

Порівняйте це з фішинговою кампанією, пов’язаною з росією, яка націлилася на німецьких посадовців через Signal. У тому випадку підтримувані державою суб’єкти використовували ту саму базову техніку, видаючи себе за довірені організації, щоб отримати доступ до комунікацій Signal. Складність зловмисника змінюється, але вразливість, яку експлуатують, залишається незмінною: людська довіра.

Що ці атаки виявляють про покладання винятково на зашифровані месенджери

Постійність і ефективність фішингових атак на ключі резервного копіювання Signal оголюють ширшу проблему в тому, як люди думають про засоби безпечної комунікації. Сильне шифрування створює відчуття безпеки, яке не завжди поширюється на супутні практики безпеки.

Користувачі, які покладаються на Signal через його шифрування, часто менш прискіпливо ставляться до звичок керування обліковим записом, налаштувань резервного копіювання та того, як вони реагують на неочікувані запити підтримки. Саме цю прогалину експлуатують зловмисники. Застосунок стає всією стратегією безпеки, а не одним шаром у ширшому підході.

Подібні схеми з’являлися на інших платформах обміну повідомленнями. Витік облікових даних WhatsApp, який викрив мільйони записів користувачів, слідував порівнянній логіці: функції безпеки платформи не були слабким місцем. Ним були облікові дані користувачів і практики керування обліковим записом.

Це не означає, що зашифровані месенджери не варто використовувати. Безумовно варто. Це означає, що шифрування — це підлога, а не стеля, і що користувачі повинні вибудовувати звички безпеки поверх нього.

Практичний захист: MFA, VPN і розпізнавання тривожних ознак соціальної інженерії

Захист від фішингу з ключем резервного копіювання Signal потребує як технічних кроків, так і зміни того, як ви реагуєте на небажані контакти.

Почніть із налаштувань резервного копіювання Signal. Якщо ви використовуєте функцію «Безпечні резервні копії» Signal, ставтеся до свого 64-символьного ключа відновлення так, як до майстер-пароля: зберігайте його офлайн, у безпечному місці, і ніколи нікому не повідомляйте, незалежно від того, як сформульовано запит. Співробітники Signal ніколи його не запитуватимуть.

Увімкніть PIN-код Signal і блокування реєстрації, щоб запобігти несанкціонованій перереєстрації облікового запису на новому пристрої. Це не захищає ключ резервної копії безпосередньо, але закриває інший поширений вектор атаки.

Окрім Signal, застосуйте багатофакторну автентифікацію до облікових записів, пов’язаних із номером телефону або електронною поштою, які асоціюються з вашим профілем Signal. Оскільки Signal використовує номери телефонів для реєстрації, атака із заміною SIM-картки або скомпрометований номер телефону можуть створити додаткову вразливість. Автентифікація на основі токенів додає суттєвий рівень перешкод для зловмисників, які намагаються захопити облікові записи через суміжні сервіси.

Використання VPN у мережах поза домом додає ще один рівень захисту, маскуючи ваш трафік і зменшуючи видимість вашого пристрою та активності перегляду для потенційних зловмисників, які проводять розвідку перед цілеспрямованою фішинговою спробою.

Найголовніший захист, однак, — скептицизм щодо небажаних контактів. Будь-яке повідомлення, яке нібито надходить від служби підтримки Signal і просить підтвердити облікові дані, надати ключ відновлення або перейти за посиланням для вирішення проблеми з обліковим записом, за замовчуванням слід розглядати як спробу фішингу. Справжні системи підтримки так не працюють.

Що це означає для вас

Кампанія фішингу з використанням ключів резервного копіювання Signal — це конкретне нагадування, що жоден інструмент, хоч би як добре він був спроєктований, не захищає повністю користувачів, які не вибудували навколо нього відповідних звичок. Шифрування Signal залишається надійним. Ризик полягає в тому, як керують і захищають ключі до цього шифрування.

Знайдіть час зараз, щоб перевірити налаштування Signal, підтвердити, де зберігається ваш ключ відновлення резервної копії, та оцінити загальний стан безпеки облікового запису. Поділіться цим знанням із людьми у вашій мережі, які користуються Signal, особливо з тими, хто може не стежити уважно за новинами безпеки. Соціальна інженерія найкраще працює проти тих, хто не знає, що вона насувається.