Фішынг у Signal — атакуюць журналістаў і актывістаў

Праз фішынгавую атаку ў студзені гэтага года невядомыя спрабавалі атрымаць доступ да ўліковых запісаў журналістаў і актывістаў у месенджары Sig­nal. Як адбываюцца атакі і як ад іх абараніцца?

Выява зроблена БАЖ з дапамогай Chat­G­PT

У студзені 2026 года многія журналісты і актывісты сталі ахвярамі фішынгавай атакі на свае акаўнты ў месенджары Sig­nal.

«Пацярпелі дзясяткі журналістаў, у тым ліку вядомыя, з дзяржаўных тэлеканалаў і шэрагу буйных і меншых СМІ, уключаючы Die Zeit, Cor­rec­tiv і netzpolitik.org. Акрамя таго, атакам падвергліся прадстаўнікі грамадзянскай супольнасці, у тым ліку юрысты», — гаворыцца ў матэрыяле нямецкай платформы па абароне лічбавых грамадзянскіх свабод netzpolitik.org.

Расследавальнікам пакуль не ўдалося выявіць ахвяр атакі па-за межамі згаданых катэгорый, што «сведчыць пра мэтанакіраваную фішынгавую атаку на канкрэтныя тэлефонныя нумары».

«Мы атрымалі папярэднія дадзеныя, якія сведчаць пра тое, што журналісты, палітыкі і прадстаўнікі грамадзянскай супольнасці ў Германіі і па ўсёй Еўропе сталі мішэнню пераследу», — заявіў Донха О’Кербайл (Don­n­cha Ó Cearb­haill), кіраўнік лабараторыі бяспекі Amnesty Inter­na­tion­al.

Паводле яго слоў, пакуль незразумела, наколькі паспяховымі былі атакі, аднак, імаверна, яны распаўсюджваюцца дзякуючы крадзяжу адрасоў, сабраных у папярэдніх ахвяр.

Як гэта працуе?

Зламыснікі рассылаюць паведамленні ў Sig­nal, выдаючы сябе за «службу падтрымкі Sig­nal». Яны сцвярджаюць, што на мабільным тэлефоне ахвяры была «зафіксаваная падазроная актыўнасць і спроба доступу да асабістых дадзеных». З гэтай прычыны прапануецца паўторна прайсці працэдуру верыфікацыі Sig­nal і адправіць код пацвярджэння «чат-боту службы падтрымкі Sig­nal».

Першыя ахвяры атакі былі выяўленыя яшчэ ў лістападзе. А першыя публічна вядомыя паведамленні пра атакі з’явіліся ў кастрычніку мінулага года — дзякуючы эксперту Cit­i­zen Lab Джону Скоту-Рэйлтану (John Scott-Rail­ton).

Запыт з фальшывага акаўнта службы падтрымкі выглядае наступным чынам:

«Паважаны карыстальнік, гэта чат-бот службы бяспекі Sig­nal. Мы заўважылі падазроную актыўнасць на вашай прыладзе, якая магла прывесці да ўцечкі дадзеных. Мы таксама выявілі спробы атрымаць доступ да вашых асабістых дадзеных у Sig­nal. Каб прадухіліць гэта, вам неабходна прайсці працэдуру верыфікацыі, увёўшы праверачны код у чат-бот службы бяспекі Sig­nal. НІКОМУ НЕ ПАВЕДАМЛЯЙЦЕ КОД, НАВАТ СУПРАЦОЎНІКАМ SIGNAL».

Калі запыт на чат прымаецца, ахвяра атрымлівае на свой мабільны тэлефон SMS з кодам пацвярджэння. Як выглядае, гэта сапраўдны код ад Sig­nal. Гэта сведчыць пра тое, што адразу пасля прыняцця запыту зламыснікі спрабуюць паўторна зарэгістраваць уліковы запіс, выкарыстоўваючы нумар мабільнага тэлефона.

Калі код пацвярджэння будзе перададзены фальшывай «службе падтрымкі Sig­nal», махляры змогуць зарэгістраваць новы акаўнт. Акрамя таго, уліковыя запісы Sig­nal абаронены PIN-кодам Sig­nal — гэта другі ўзровень бяспекі ў дадатак да кода, які дасылаецца па SMS. Калі зламыснікі не ведаюць гэты PIN-код, яны не змогуць праглядаць кантакты, групы ці змест паведамленняў.

Аднак калі PIN-код Sig­nal будзе перададзены кібермахлярам, яны змогуць атрымаць доступ да профілю і кантактаў карыстальніка. Яны не змогуць прачытаць старыя чаты, але могуць заблакаваць доступ уладальніку, змяніўшы PIN-код Sig­nal і пасля гэтага ўключыўшы блакіроўку рэгістрацыі. Гэта дазволіць зламыснікам назаўсёды захапіць уліковы запіс — іншыя карыстальнікі ў чатах або групах заўважаць толькі змяненне кода бяспекі.

Могуць выкарыстоўваць для сачэння за палітычнымі супольнасцямі і крыніцамі інфармацыі

Пасля захопу акаўнта зламыснікі могуць атрымаць доступ да групавых чатаў, ідэнтыфікаваць кантакты і сеткі сувязяў пацярпелых.

У выпадку з журналістамі гэта, напрыклад, можа раскрыць крыніцы, якія канфідэнцыйна і ў зашыфраваным выглядзе кантактуюць з імі. У выпадку з актывістамі могуць быць выкрытыя палітычныя сеткі і кантакты. Зламыснік таксама зможа чытаць усе паведамленні, дасланыя з моманту захопу акаўнта.

Як вядома расследавальнікам, ніводзін з пацярпелых не пайшоў далей за прыняцце паведамлення ў чаце і атрыманне SMS-пацвярджэння. Аднак махляр, які мае ўнутраны доступ да інфраструктуры мабільнай сеткі аператара, мог перахапіць коды пацвярджэння, адпраўленыя па SMS, і яму не спатрэбілася б запытваць іх. Для атрымання поўнага доступу да акаўнта яму таксама спатрэбіўся б PIN-код Sig­nal.

Выява зроблена БАЖ пры дапамозе Chat­G­PT

Як можна абараніцца?

«Гэтыя атакі не выкарыстоўваюць уразлівых месцаў у самім Sig­nal. Sig­nal застаецца адным з самых бяспечных і шырока выкарыстоўваемых дадаткаў для абмену зашыфраванымі паведамленнямі», — заявіў эксперт па бяспецы Amnesty Inter­na­tion­al Донха О’Кербайл.

Прадстаўнік Sig­nal пракаментаваў сітуацыю нямецкай платформе: «Sig­nal ніколі не будзе звязвацца з вамі праз двухбаковы чат унутры дадатку».

Акрамя таго, карыстальнікам варта ўключыць блакіроўку рэгістрацыі. Гэта можна зрабіць у раздзеле «Налады» → «Акаўнт», перасунуўшы паўзунок «Блакіроўка рэгістрацыі». Sig­nal таксама падкрэслівае: «Ніколі не паведамляйце свой PIN-код Sig­nal нікому».

Карыстальнікі, якія атрымалі паведамленне ад раней невядомага акаўнта з апісаным вышэй або падобным зместам, павінны паведаміць пра ўваходнае паведамленне і націснуць кнопку «Паведаміць і заблакаваць». Ні пры якіх абставінах не варта выконваць дасланыя інструкцыі: Sig­nal ніколі не звязваецца з карыстальнікамі такім чынам.

Калі ў чаце з’яўляецца паведамленне пра змену кода бяспекі кантакта, гэта часта азначае, што чалавек проста набыў новы мабільны тэлефон. Тым не менш у такіх сітуацыях заўсёды варта ўдакладняць прычыну змены кода бяспекі, выкарыстоўваючы іншы канал сувязі, а не тэкставы чат Sig­nal.

Для пацвярджэння змененага кода бяспекі звычайна падыходзіць тэлефонны званок або, яшчэ лепш, відэазванок. Таксама рэкамендуецца правяраць усе прылады, падключаныя да Sig­nal, і выдаляць тыя, якія больш не патрэбныя.