Signal като входна точка в целенасочени фишинг кампании в Европа
Германските служби за киберсигурност и контраразузнаване издадоха съвместно предупреждение за активна фишинг кампания, която злоупотребява с платформата Signal с цел достъп до чувствителни комуникации. Кампанията е насочена към високопоставени лица. включително представители на политиката, военните, дипломацията и разследващата журналистика в Германия и други европейски държави.
Характерното в случая е, че не става дума за техническа уязвимост в Signal. Атаката разчита изцяло на социално инженерство и злоупотреба с легитимни функционалности на платформата, без използване на зловреден код или експлойти.
Как работи атаката
Атакуващите осъществяват директен контакт с жертвите вътре в самото приложение.
Те се представят като „Signal Support“ или автоматизиран „Security ChatBot“ и изпращат спешни съобщения, свързани с предполагаеми проблеми с акаунта или риск от загуба на данни.
Наблюдавани са два основни сценария:
Превземане чрез повторна регистрация. Жертвите биват подтиквани да споделят PIN или код за потвърждение, получен по SMS. Това позволява на атакуващите да регистрират акаунта на свое устройство и да получат достъп до бъдещите съобщения и контактите.
Злоупотреба с функцията за свързване на устройства. Чрез подмамване жертвите сканират QR код под претекст за проверка на сигурността. Това незабелязано добавя устройство, контролирано от атакуващите, с достъп до последните разговори.
И в двата случая няма зловредни линкове или файлове. Атаката е „чиста“ от техническа гледна точка и разчита единствено на доверие.
Защо това е важно
Кампанията показва ясна еволюция в целенасочените фишинг атаки и кибершпионажа. Все по-често защитени платформи се използват директно като атачни повърхности.
Когато комуникацията идва от доверено, криптирано приложение, традиционните защитни механизми нямат видимост. Компрометирането на един акаунт може да доведе до изтичане на информация за цели професионални мрежи чрез групови чатове, списъци с контакти и имитация на самоличност.
Тази техника не е ограничена само до Signal. Подобни механизми съществуват и в други популярни месинджъри.
DIAMATIX Perspective
От защитна гледна точка това е класически пример за злоупотреба с легитимна платформа. Инфраструктурата функционира коректно. Проблемът е в идентичността и вземането на решения от страна на потребителя.
Ключови изводи за организациите и MSP доставчиците:
Криптираните месинджъри трябва да се разглеждат като критични идентификационни активи, а не просто като канали за комуникация.
Обученията по сигурност трябва изрично да обхващат имитация на support акаунти вътре в доверени платформи, а не само имейл фишинг.
Необходими са политики за регистрационни заключвания, периодичен преглед на свързаните устройства и ясни процедури при съмнение за компрометиран акаунт.
За MSP и SOC екипите това подчертава нуждата от наблюдение на риск на ниво акаунт, а не само крайни устройства или мрежи.
Когато атакуващите заобикалят техническите защити, като използват легитимни функционалности, устойчивостта зависи от разбирането на намерението. Не само от инфраструктурата.
Използвани източници
Федерална служба за защита на конституцията на Германия (BfV) и Федерална служба за информационна сигурност (BSI). Съвместно предупреждение за фишинг кампании чрез месинджър платформи.
Публична информация и анализи за злоупотреба с легитимни функционалности на Signal (PIN защита, свързване на устройства).
Индустриални изследвания и доклади за Telephone-Oriented Attack Delivery (TOAD) и социално инженерство без зловреден код.
Получавайте актуални новини и експертни анализи за киберсигурност
