Służby ostrzegają. Rosjanie przejmują popularne aplikacje

Rosyjscy hakerzy, powiązani ze służbami wywiadowczymi, prowadzą kampanię phishingową, wymierzoną w użytkowników dwóch popularnych komunikatorów. Ostrzeżenie wydały FBI oraz CISA. Rosyjscy hakerzy powiązani ze służbami wywiadowczymi prowadzą szeroką kampanię phishingową wymierzoną w użytkowników szyfrowanych komunikatorów, takich jak Signal i WhatsApp, by przejmować ich konta i podszywać się pod ofiary. Atak na użytkowników WhatsAppa i Signala FBI i CISA ostrzegają, że celem są przede wszystkim osoby o „wysokiej wartości wywiadowczej”. Chodzi o obecnych i byłych urzędników, wojskowych, polityków oraz dziennikarzy. Z doniesień wynika, że globalnie zhakowano już tysiące kont. Ataki nie łamią szyfrowania end-to-end ani nie wykorzystują luk w samych aplikacjach. W całości opierają się na socjotechnice. Oszuści podszywają się m.in. pod dział wsparcia Signala i nakłaniają ofiary do podania kodu SMS/PIN, kliknięcia linku bądź zeskanowania kodu QR, rzekomo w celu weryfikacji konta. Jeśli ofiara poda kod/PIN, napastnik odzyskuje konto na swoim urządzeniu. Nie daje mu to dostępu do historii czatów, ale atakujący może czytać nowe wiadomości i pisać w imieniu użytkownika. Jeśli ofiara kliknie link lub zeskanuje QR, urządzenie kontrolowane przez atakującego zostaje dopisane jako zaufane. Wtedy haker widzi także archiwalne konwersacje, a ofiara nadal ma dostęp do konta, często nieświadoma włamania. Podobne ostrzeżenie wydały też agencje cyberbezpieczeństwa z Francji, Niemiec i Holandii, wskazując na rosnącą liczbę przejętych kont przedstawicieli rządów, biznesu i mediów. Kampanie łączone są z rosyjskimi grupami Star Blizzard, UNC5792 (UAC‑0195) i UNC4221 (UAC‑0185). Aby się chronić, służby i Signal zalecają, aby nigdy nie podawać kodów weryfikacyjnych ani PIN nikomu. Każdą taką prośbę powinniśmy traktować jako próbę oszustwa. Powinniśmy też ostrożnie podchodzić do linków od nieznanych kontaktów oraz regularnie sprawdzać listę powiązanych urządzeń i usuwać podejrzane. Signal przypomina, że „Signal Support” nigdy nie kontaktuje się z użytkownikami przez SMS, komunikator ani social media z prośbą o jakikolwiek kod. Jeśli ktoś to robi, na pewno jest to oszustwo.