Ruští útočníci nově cílí na Signal Backup Recovery Keys. FBI varuje před kampaní zaměřenou na získání historie komunikace
FBI a CISA varují před pokračující ruskou phishingovou kampaní zaměřenou na uživatele aplikace Signal. Útočníci nově cílí na Signal Backup Recovery Keys, které mohou umožnit přístup k historickým zprávám uloženým v záloze.
Signal patří dlouhodobě mezi nejbezpečnější komunikační aplikace. Aktuální varování FBI však nepopisuje žádnou zranitelnost v samotné aplikaci ani prolomení end-to-end šifrování.
Útočníci místo toho využívají osvědčenou taktiku. Snaží se přimět oběť, aby jim sama předala citlivé údaje potřebné k obnovení účtu nebo záloh.
Podle FBI jde o pokračování kampaně napojené na ruské zpravodajské služby, která se zaměřuje především na osoby pracující s citlivými informacemi.
Útočníci už nechtějí jen účet. Zajímají je i starší zprávy
Dosavadní phishingové kampaně se často snažily získat ověřovací SMS kódy, Signal PIN nebo připojit vlastní zařízení jako další důvěryhodné zařízení, takzvané Linked Device.
Nově se útočníci zaměřují také na Signal Backup Recovery Key.
Jde o tajný obnovovací klíč vytvořený při aktivaci šifrovaných záloh. Pokud jej útočník získá, může obnovit uloženou zálohu a získat přístup k historické komunikaci, která byla v záloze uložena.
To představuje významný posun oproti dřívějším útokům, které často umožňovaly sledovat pouze novou komunikaci po převzetí účtu.
Phishing místo hackování: proč je tento útok tak nebezpečný
Scénář útoku je založený na sociálním inženýrství.
Útočník kontaktuje oběť a vydává se například za technickou podporu nebo jinou důvěryhodnou autoritu. Pomocí naléhavých zpráv se snaží uživatele přesvědčit, aby sdílel:
- Signal Backup Recovery Key,
- Signal PIN,
- ověřovací kód,
- nebo provedl jinou akci umožňující převzetí účtu.
Ve všech případech nejde o prolomení zabezpečení aplikace, ale o zneužití důvěry uživatele.
Proč jsou terčem hlavně novináři, vojáci a státní správa
Podle FBI jsou primárními cíli zejména osoby s vysokou zpravodajskou hodnotou:
- novináři,
- státní úředníci,
- vojáci,
- diplomaté,
- aktivisté,
- pracovníci bezpečnostních organizací,
- osoby spojené s Ukrajinou.
Právě u těchto skupin může mít přístup ke starší komunikaci významnou zpravodajskou hodnotu.
FBI: Recovery Key nikdy nikomu neposílejte
FBI doporučuje několik základních opatření:
- nikdy nesdílet Signal Backup Recovery Key,
- nikdy neposkytovat Signal PIN ani ověřovací kódy,
- pravidelně kontrolovat připojená zařízení Linked Devices,
- ignorovat zprávy vydávající se za technickou podporu Signalu,
- v případě podezření obnovovací klíč změnit opětovným vytvořením zálohy.
Silné šifrování nestačí, pokud útočník získá vaše klíče
Aktuální kampaň znovu ukazuje, že nejslabším článkem moderní komunikace často není šifrování, ale člověk.
Útočníci se nesnaží prolomit kryptografii Signalu. Místo toho se zaměřují na získání legitimního přístupu prostřednictvím sociálního inženýrství. Právě proto jsou podobné útoky dlouhodobě úspěšné. Nevyužívají technickou zranitelnost aplikace, ale lidskou důvěru.
Pro organizace, novináře i pracovníky státní správy jde o další připomínku, že ochrana citlivé komunikace nekončí výběrem bezpečné aplikace. Stejně důležité je chránit přístupové údaje, obnovovací klíče a ověřovat každou nevyžádanou žádost o jejich sdílení.