Serviciile de informații germane au emis un avertisment privind atacuri de phishing ce vizează accesul la conturi de Signal cu o tactică care evită complet utilizarea de malware sau exploatarea unor vulnerabilități.
Atacurile vizează în special politicieni, jurnaliști și personal militar din Germania și Europa, ceea ce sugerează o campanie de spionaj a unui actor statal.
Inginerie socială pură, fără cod malițios
Serviciul intern de informații al Germaniei (Bundesamt für Verfassungsschutz – BfV) a observat două strategii de prin care actorul rău intenționat obține acces total asupra contului Signal al victimei.
Într-una din variante, atacatorul se prezintă drept echipa de suport tehnic Signal sau ca chatbot oficial în mesaje care avertizează asupra unor „probleme de securitate”.
Mesajul creează creează sentimentul de urgență pentru a presa destinatarul să urmeze instrucțiunile din mesaj. Astfel, persona vizată este îndemnate să introducă PIN-ul personal pentru aplicația Signal în chat sub pretextul că altfel ar putea pierde datele. Codul PIN este apoi folosit pentru a asocia contului un dispozitiv secundar.
În cealaltă versiune a atacului actorul se folosește de o altă opțiune legitimă pentru înregistrarea a unui dispozitiv, scanarea unui cod QR, funcție ce există și în cazul aplicației WhatsApp și a fost abuzată masiv de cibercriminali.
În cazul conturilor WhatsApp, cibercriminalii folosesc și metoda înregistrării unui dispozitiv nou folosind numărul de telefon al victimei și ingineria socială, în atacuri cunoscute și sub denumirea GhostPairing.
Odată asociat dispozitivul cu contul de Signal al victimei, atacatorii au access la conversații și pot trimite mesaje în numele victimei. Practic, preiau controlul total al contului fără să instaleze nimic pe dispozitivul vizat.
Agenția de informații menționează că această tehnică oferă atacatorului acces doar la conversațiile inițiate după obținerea accesului la contul vizat fără a da de bănuit proprietarului că toate discuțiile sunt monitorizate.
Autoritățile germane solicită victimelor să raporteze incidentele și pregătesc o investigație pentru atribuirea atacurilor la nivel de stat.
Măsuri de precauție
Utilizatorii trebuie să știe că niciun serviciu legitim nu va solicita vreodată PIN-ul sau date de autentificare prin chat, iar scanarea de coduri QR de origine incertă poate duce la consecințe grave, precum compromiterea conturilor, furtul de identitate sau accesul neautorizat la date financiare.
Infractorii cibernetici mizează pe grabă și neatenție, imitând mesaje oficiale ale băncilor, curierilor sau platformelor online pentru a câștiga încrederea victimelor.
Pentru a verifica lista de dispozitive asociate cu WhatsApp sau Signal, utilizatorii pot accesa opțiunea Linked devices (Dispozitive asociate) din setările aplicației de mobil. Se recomandă eliminarea oricărui dispozitiv necunoscut.
În cazul Signal, se poate adăuga un nivel suplimentar de securitate prin activarea funcției Registration Lock (Blocare înregistrare), care împiedică înregistrarea numărului de telefon pe un alt dispozitiv.
Trebuie avut în vedere că opțiunea „Blocare dispozitive” duce la restricționarea accesului la contul Signal dacă uitați codul PIN. Accesul poate fi recuperat după șapte zile prin crearea unui PIN nou, dar toată informația asociată cu vechiul cod va dispărea.
