Хакеры стартовали использовать фишинг для кражи резервных копий пользователей Signal

Хакеры стартовали атаковать пользователей мессенджера Signal, пытаясь украсть резервные копии их чатов в рамках новой фишинговой кампании.

Аналитик Washington Post Джош Рогин опубликовал скриншот нового типа атаки, где хакеры, выдавая себя за службу поддержки приложения, предупреждают жертву о том, что её резервные копии чатов и медиафайлов «находятся под угрозой безвозвратной потери из-за проблемы синхронизации». Чтобы этого избежать, говорится в сообщении, жертве необходимо поделиться ключом восстановления, используемым для доступа к онлайн-резервным копиям в чате. «Это свяжет вашу существующую резервную копию с вашей учётной записью. Невыполнение этого шага может привести к потере доступа к вашей учётной записи и всем хранящимся данным», — говорится в сообщении, якобы отправленном с аккаунта Signal Support. 

Рогин сообщил, что такие сообщения получили несколько активистов, выступающих против Коммунистической партии Китая. Мохаммед Аль-Маскати, директор службы поддержки цифровой безопасности Access Now, которая расследует кибератаки на журналистов, диссидентов и правозащитников, сообщил TechCrunch, что два человека прислали ему похожие сообщения. По его словам, эти двое не являются китайскими активистами. Таким образом, хакерская кампания может быть более масштабной и нацелена на разные сообщества, или же могут существовать разные группы хакеров, использующие одну и ту же стратегию.

Неясно, насколько эффективной была кампания. Аль-Маскати сказал, что кража ключей восстановления для резервных копий чатов жертвы — это только один шаг в атаке, и хакерам ещё предстоит захватить учётную запись жертвы.

В Signal заявляют, что «никогда не будут связываться» с пользователями первыми и никогда не будет запрашивать их регистрационный код, PIN-код или ключ восстановления. Компания публично предупреждала об этом типе атаки в прошлом месяце. 

Предыдущие хакерские кампании, направленные на пользователей Signal, были нацелены на взлом учётных записей, часто с потенциальной целью украсть контакты или начать чат с другими людьми. В этих случаях хакеры не зарабатывают доступа к прошлым сообщениям, так как из-за особенностей работы мессенджера они не отображаются на новом устройстве. В данном случае один из способов просмотреть старые сообщения — это получить доступ к онлайн-резервной копии, для чего и требуется ключ восстановления.

В феврале Signal запустил Secure Backups — новую дополнительную функцию, которая позволяет пользователям загружать содержимое своих учётных записей на серверы мессенджера, где оно шифруется ключом восстановления, который «никогда не передается на серверы Signal» и «никогда не покидает» устройство пользователя. Организация рекомендует пользователям надёжно хранить ключ восстановления на ноутбуке или в менеджере паролей.

Это означает, что доступ к архиву может получить только потребитель в сценарии, когда он регистрирует свою учётную запись на новом телефоне, загружает зашифрованную резервную копию с серверов Signal, а затем расшифровывает её с помощью ключа восстановления.