Tấn công lừa đảo nhắm vào khóa sao lưu Signal để đánh cắp kho lưu trữ tin nhắn

Tấn công lừa đảo nhắm vào khóa sao lưu Signal để đánh cắp kho lưu trữ tin nhắn

Một làn sóng tấn công lừa đảo mới đang nhắm vào người dùng Signal bằng một cách cực kỳ hiệu quả: tội phạm giả danh Bộ phận hỗ trợ của Signal để lừa mọi người cung cấp khóa khôi phục sao lưu, cho phép kẻ tấn công truy cập hoàn toàn vào kho lưu trữ tin nhắn đã mã hóa của nạn nhân. Chiến dịch lừa đảo khóa sao lưu Signal làm nổi bật một sự thật phũ phàng về các ứng dụng nhắn tin bảo mật: công nghệ có thể vững chắc về mặt toán học, nhưng con người sử dụng nó vẫn hoàn toàn dễ bị tổn thương.

Đây không phải là lỗ hổng trong mã hóa của Signal. Đây là lời nhắc nhở rằng kỹ thuật xã hội luôn vượt qua các biện pháp phòng thủ kỹ thuật, và ngay cả những người dùng có ý thức bảo mật cao nhất cũng có thể bị bất ngờ khi một nguồn đáng tin cậy yêu cầu cung cấp thông tin xác thực.

Cách thức lừa đảo giả danh Bộ phận hỗ trợ Signal hoạt động

Cuộc tấn công tuân theo một kịch bản lừa đảo quen thuộc nhưng được áp dụng cho một mục tiêu có giá trị cao bất thường. Kẻ tấn công liên hệ với người dùng Signal qua SMS, mạng xã hội hoặc thậm chí ngay trong chính Signal, tự xưng là nhân viên Bộ phận hỗ trợ của Signal. Các tin nhắn thường đưa ra yêu cầu khẩn cấp, viện dẫn việc xác minh tài khoản, sự cố bảo mật hoặc quá trình chuyển đổi sao lưu cần thiết.

Mục tiêu luôn giống nhau: lấy được khóa khôi phục sao lưu dài 64 ký tự của nạn nhân. Tính năng Sao lưu bảo mật của Signal mã hóa kho lưu trữ tin nhắn bằng khóa này, và khóa không bao giờ được chia sẻ với máy chủ của Signal. Thiết kế đó nhằm bảo vệ quyền riêng tư của người dùng. Nhưng trong bối cảnh này, nó trở thành một điểm yếu, vì khóa là thứ duy nhất ngăn cách kẻ tấn công với một bản sao đầy đủ, có thể đọc được của toàn bộ lịch sử tin nhắn.

Một khi kẻ tấn công có được khóa khôi phục, chúng có thể tải xuống và giải mã kho lưu trữ sao lưu một cách độc lập. Không cần thêm bất kỳ xác thực nào khác. Kết quả là truy cập đầy đủ vào mọi tin nhắn trong kho lưu trữ, bao gồm danh bạ, trò chuyện nhóm và tệp đính kèm, mà nạn nhân không thể biết việc truy cập đã xảy ra.

Signal đã xác nhận công khai rằng họ sẽ không bao giờ chủ động liên hệ với người dùng qua điện thoại, SMS hay mạng xã hội, và sẽ không bao giờ yêu cầu mã PIN hoặc khóa khôi phục. Chính sách đó rất rõ ràng, nhưng dễ bị bỏ qua trong một tin nhắn có nội dung thuyết phục.

Tại sao khóa sao lưu bị đánh cắp còn nguy hiểm hơn mật khẩu bị hack

Hầu hết mọi người đều hiểu rằng mật khẩu bị đánh cắp là nghiêm trọng. Nhưng ít người nhận ra rằng khóa khôi phục sao lưu bị đánh cắp có thể tồi tệ hơn, bởi vì nó bỏ qua gần như mọi lớp bảo vệ tài khoản hiện đại.

Khi kẻ tấn công đánh cắp mật khẩu, chúng vẫn phải đối mặt với các rào cản tiềm năng: xác thực hai yếu tố, cảnh báo đăng nhập, xác minh thiết bị hoặc khóa tài khoản. Khóa khôi phục sao lưu không có bất kỳ điểm kiểm tra nào trong số đó. Nó là một thông tin xác thực mã hóa tĩnh, có thể giải mã trực tiếp dữ liệu đã lưu trữ. Kẻ tấn công không cần chạm vào tài khoản, số điện thoại hay phiên hoạt động của bạn. Thiệt hại được thực hiện ngoại tuyến, âm thầm và thường không có bất kỳ thông báo nào cho nạn nhân.

Đây là lý do tại sao người dùng Signal ngày càng bị xâm phạm thông qua các phương thức không liên quan gì đến mã hóa của ứng dụng. Mã hóa rất mạnh mẽ. Vấn đề nằm ở điều xảy ra khi người dùng bị thao túng để từ bỏ các khóa bảo vệ nó.

So sánh điều này với chiến dịch lừa đảo liên quan đến Nga nhắm vào các quan chức Đức qua Signal. Trong trường hợp đó, các tác nhân được nhà nước bảo trợ đã sử dụng kỹ thuật cơ bản tương tự, giả danh các thực thể đáng tin cậy để truy cập vào liên lạc Signal. Mức độ tinh vi của kẻ tấn công có thay đổi, nhưng lỗ hổng bị khai thác vẫn không đổi: lòng tin của con người.

Những cuộc tấn công này tiết lộ gì về việc chỉ dựa vào các ứng dụng nhắn tin mã hóa

Sự dai dẳng và hiệu quả của các cuộc tấn công lừa đảo khóa sao lưu Signal phơi bày một vấn đề rộng lớn hơn trong cách mọi người nghĩ về các công cụ liên lạc bảo mật. Mã hóa mạnh tạo ra cảm giác an toàn, nhưng không phải lúc nào cũng mở rộng sang các thực hành bảo mật xung quanh.

Những người dùng dựa vào Signal vì mã hóa của nó thường ít xem xét kỹ lưỡng các thói quen quản lý tài khoản, cài đặt sao lưu và cách họ phản hồi các yêu cầu hỗ trợ bất ngờ. Chính khoảng trống đó là thứ kẻ tấn công khai thác. Ứng dụng trở thành toàn bộ chiến lược bảo mật, thay vì chỉ là một lớp trong một cách tiếp cận toàn diện.

Các mô hình tương tự đã xuất hiện trên các nền tảng nhắn tin khác. Vụ rò rỉ thông tin xác thực WhatsApp làm lộ hàng triệu hồ sơ người dùng cũng theo một logic tương tự: các tính năng bảo mật của nền tảng không phải là điểm yếu. Thông tin xác thực và thói quen quản lý tài khoản của người dùng mới là điểm yếu đó.

Điều này không có nghĩa là các ứng dụng nhắn tin mã hóa không đáng dùng. Chúng hoàn toàn xứng đáng. Nó có nghĩa rằng mã hóa chỉ là nền tảng cơ bản, không phải là đỉnh cao, và người dùng cần xây dựng thói quen bảo mật trên nó.

Các biện pháp phòng thủ thực tế: MFA, VPN và nhận biết dấu hiệu cảnh báo của kỹ thuật xã hội

Bảo vệ bản thân khỏi lừa đảo khóa sao lưu Signal đòi hỏi cả các bước kỹ thuật lẫn sự thay đổi trong cách bạn phản hồi với liên hệ không mong muốn.

Hãy bắt đầu với cài đặt sao lưu Signal của bạn. Nếu bạn sử dụng tính năng Sao lưu bảo mật của Signal, hãy coi khóa khôi phục dài 64 ký tự của mình như mật khẩu chính: lưu trữ ngoại tuyến, ở một vị trí an toàn và không bao giờ chia sẻ với bất kỳ ai, bất kể yêu cầu được đưa ra như thế nào. Nhân viên Signal sẽ không bao giờ yêu cầu nó.

Bật mã PIN Signal và Khóa đăng ký để ngăn chặn việc đăng ký lại tài khoản trái phép trên thiết bị mới. Điều này không trực tiếp bảo vệ khóa sao lưu của bạn, nhưng nó đóng một vectơ tấn công phổ biến khác.

Ngoài riêng Signal, hãy áp dụng xác thực đa yếu tố trên các tài khoản được liên kết với số điện thoại hoặc email liên quan đến hồ sơ Signal của bạn. Vì Signal sử dụng số điện thoại để đăng ký, một cuộc tấn công hoán đổi SIM hoặc số điện thoại bị xâm phạm có thể tạo ra rủi ro bổ sung. Xác thực dựa trên mã thông báo thêm một lớp ngăn cản đáng kể đối với những kẻ tấn công cố gắng chiếm đoạt tài khoản thông qua các dịch vụ liền kề.

Sử dụng VPN trên các mạng bên ngoài nhà bạn thêm một lớp bảo vệ khác bằng cách che giấu lưu lượng truy cập và giảm khả năng hiển thị của thiết bị cùng hoạt động duyệt web trước những kẻ tấn công đang tiến hành trinh sát trước một nỗ lực lừa đảo có chủ đích.

Tuy nhiên, biện pháp phòng vệ quan trọng nhất là sự hoài nghi đối với liên hệ không mong muốn. Bất kỳ tin nhắn nào tự xưng là từ Bộ phận hỗ trợ của Signal, yêu cầu bạn xác minh thông tin, xác nhận khóa khôi phục hoặc nhấp vào liên kết để giải quyết sự cố tài khoản, mặc định nên được coi là một nỗ lực lừa đảo. Các hệ thống hỗ trợ hợp pháp không hoạt động theo cách này.

Điều này có ý nghĩa gì với bạn

Chiến dịch tấn công lừa đảo khóa sao lưu Signal là một lời nhắc nhở cụ thể rằng không có công cụ nào, dù được thiết kế tốt đến đâu, có thể bảo vệ hoàn toàn những người dùng không xây dựng thói quen xung quanh nó. Mã hóa của Signal vẫn mạnh mẽ. Rủi ro nằm ở cách các khóa mã hóa đó được quản lý và bảo vệ.

Hãy dành thời gian ngay bây giờ để kiểm tra cài đặt Signal của bạn, xác nhận nơi lưu trữ khóa khôi phục sao lưu và xem xét tình trạng bảo mật tổng thể của tài khoản. Chia sẻ nhận thức này với những người trong mạng lưới của bạn đang sử dụng Signal, đặc biệt là những người có thể không theo dõi tin tức bảo mật sát sao. Kỹ thuật xã hội hoạt động tốt nhất đối với những người không biết rằng nó đang diễn ra.