Atak na popularny komunikator. Niemeckie służby z apelem

Aplikacja nie jest dziurawa, dziurą jesteś ty

Atak jest o tyle niebezpieczny, że nie wykorzystuje żadnych luk w samym Signalu ani klasycznego malware – cyberprzestępcy bazują wyłącznie na socjotechnice i legalnych funkcjach aplikacji. Oszuści podszywają się pod „Signal Support” lub bota „Signal Security ChatBot”, kontaktując się bezpośrednio w komunikatorze i prosząc ofiarę o podanie PIN‑u lub kodu weryfikacyjnego z SMS‑a pod groźbą utraty danych.

Po przekazaniu kodu atakujący rejestrują konto na własnym urządzeniu, przejmując profil, ustawienia, listę kontaktów i możliwość wysyłania wiadomości w imieniu ofiary, która traci dostęp do swojego numeru w komunikatorze. W niektórych scenariuszach napastnicy dodatkowo instruują poszkodowanego, by… założył nowe konto, co maskuje prawdziwą skalę ataków.

Łatwo ulec wrażeniu bezpieczeństwa i popełnić głupi błąd

Drugi wariant ataku wykorzystuje funkcję łączenia urządzeń – ofiara skanuje złośliwy kod QR, myśląc, że autoryzuje nowe urządzenie, w rzeczywistości dając napastnikom zdalny wgląd w wiadomości z ostatnich 45 dni oraz listę kontaktów, przy czym nadal zachowuje dostęp do swojego konta i często nie zauważa przejęcia.

BfV i BSI ostrzegają, że podobne techniki mogą zostać przeniesione także na WhatsApp, który oferuje zbliżone mechanizmy PIN‑u i parowania urządzeń.

To może być dopiero pierwszy krok

Dostęp do jednego konta komunikatora otwiera drogę do szerszej infiltracji całych sieci – poprzez przejęte czaty grupowe, kontakty i możliwość podszywania się pod zaufaną osobę.

Choć obecnie kampania nie jest jeszcze bezpośrednio powiązana ze znanym oprawcą, w podobne ataki realizowane były wcześniej przez klastry zagrożeń związane z Rosją, wymienia się tutaj Star Blizzard, UNC5792 (znany również jako UAC-0195) i UNC4221 (znany również jako UAC-0185).