Нова хвиля атак: хакери намагаються вкрасти бекапи користувачів Signal
Ключові деталі:
- Зловмисники вдають із себе службу підтримки Signal, щоб виманити ключі відновлення для резервних копій чатів.
- Ця нова тактика націлена на викрадення архівних повідомлень, фотографій та документів користувачів.
- Signal ніколи не зв’язується з користувачами першим і не запитує ключі відновлення, PIN-коди або коди реєстрації.
Користувачі Signal стали мішенню нової кіберкампанії, спрямованої на викрадення їхніх резервних копій чатів.
Аналітик видання Washington Post Джош Рогін повідомив про новий тип атаки, де зловмисники, видаючи себе за службу підтримки Signal, попереджають жертв про “ризик втрати через проблему синхронізації” їхніх резервних копій. Для уникнення втрати даних, вони вимагають поділитися ключем відновлення, який використовується для доступу до онлайн-бекапів.
“Це пов’язує ваш існуючий бекап з вашим обліковим записом. Невиконання цього може призвести до втрати доступу до вашого облікового запису та всіх збережених даних”, — йдеться у повідомленні, яке нібито надійшло від “Signal Support”.
This is a phishing attempt. If you get this message on Signal, do not follow the instructions. Many anti-CCP activists have also received this phishing attempt. Beware and be aware. pic.twitter.com/8J1YDcpUAX
— Josh Rogin (@joshrogin) May 27, 2026
Рогін зазначив, що подібні шкідливі повідомлення отримали декілька активістів, які виступають проти Комуністичної партії Китаю.
Мохаммед Аль-Маскаті, директорка відділу цифрової безпеки Access Now’s Digital Security Helpline, яка займається розслідуванням кібератак проти журналістів, дисидентів та правозахисників, повідомила, що до неї звернулися двоє осіб із подібними повідомленнями. Аль-Маскаті зазначила, що ці двоє не є китайськими активістами, що може свідчити про ширший масштаб кампанії або використання однієї стратегії різними групами зловмисників.
Ефективність цієї кампанії поки що не визначена. Аль-Маскаті пояснила, що викрадення ключів відновлення є лише першим етапом атаки, і для успіху зловмисникам все одно доведеться отримати контроль над обліковим записом жертви.
“Ми працюємо над пом’якшенням наслідків та моніторингом”, — заявила президентка Signal Мередіт Віттакер.
Загалом, подібні атаки базуються на фішингу — обмані, за допомогою якого зловмисники спонукають жертв ділитися конфіденційною інформацією. У цьому конкретному випадку, шахраї використовують довіру користувачів до Signal та його розробників, видаючи себе за офіційну підтримку.
Важливо пам’ятати, що Signal заявляє: компанія “ніколи не зв’язується” з користувачами першою і ніколи не запитує їхній код реєстрації, PIN-код або ключ відновлення. Отже, будь-який чат, що видає себе за “Signal Support”, насправді належить зловмисникам. Компанія публічно попереджала про цей тип атак ще минулого місяця.
Зв’яжіться з нами
Чи маєте ви додаткову інформацію про ці атаки на користувачів Signal? Або про подібні інциденти? З пристрою, який не використовується для роботи, ви можете зв’язатися з Лоренцо Франчески-Бікк’єраї безпечно через Signal за номером +1 917 257 1382, або через Telegram та Keybase @lorenzofb, чи електронною поштою.
Хоча останніми місяцями спостерігалося кілька кампаній з переслідуванням користувачів Signal шляхом видавання себе за їхню підтримку, цей тип атаки є новим, оскільки він конкретно націлений на резервні копії, які можуть містити старі повідомлення, фотографії та документи жертви.
Попередні атаки на користувачів Signal були спрямовані на захоплення облікового запису жертви з подальшим видаванням себе за неї, часто з метою викрадення контактів або початку розмов з іншими людьми від імені власника акаунту. У таких випадках зловмисники не отримували доступу до минулих повідомлень, оскільки атаки передбачали повторну реєстрацію облікового запису жертви на керованому ними пристрої. Через особливості дизайну Signal, старі повідомлення на новому пристрої не відображаються.
Зловмисники можуть отримати контроль над обліковими записами Signal, наприклад, шляхом перехоплення телефонного номера користувача. Однак Signal пропонує додаткові функції безпеки, які можна увімкнути, такі як “Блокування реєстрації”, що запобігає прив’язці номера жертви до нового пристрою, якщо зловмисник не заволодів PIN-кодом жертви.
У такому сценарії, одним зі способів отримати доступ до старих повідомлень є доступ до онлайн-резервної копії жертви, що вимагає ключа відновлення.
Минулого року Signal запустив функцію “Безпечні резервні копії” – опціональну опцію, яка дозволяє користувачам завантажувати вміст свого облікового запису на сервери Signal. Ці дані шифруються ключем відновлення, який, за заявами компанії, “ніколи не передається на сервери Signal” і “ніколи не залишає” пристрій користувача. Signal рекомендує зберігати ключ відновлення надійно, наприклад, у записнику або менеджері паролів.
“Без вашого унікального ключа відновлення ніхто (включаючи Signal) не зможе прочитати, розшифрувати або відновити будь-які дані з вашого архіву безпечних резервних копій”, — наголошують у Signal.
Це означає, що лише користувач може отримати доступ до свого архіву в ситуації, коли він реєструє свій обліковий запис на новому телефоні, завантажує зашифровану резервну копію з серверів Signal і потім розшифровує її за допомогою ключа відновлення.
Оновлено з коментарем від Signal.
Інформація підготовлена на основі матеріалів: techcrunch.com