Signal i WhatsApp na celowniku hakerów z Rosji. Ostrzeżenie służb
Holenderskie służby MIVD i AIVD informują o globalnej kampanii cybernetycznej przypisywanej rosyjskim hakerom państwowym. Celem mają być konta w aplikacjach Signal i WhatsApp należące m.in. do dygnitarzy, wojskowych i urzędników.
Z komunikatu MIVD i AIVD wynika, że rosyjscy hakerzy prowadzą szeroko zakrojoną akcję, której celem jest przejęcie dostępu do kont w komunikatorach. Zagrożeni są użytkownicy WhatsApp i Signal na całym świecie.
Według holenderskich służb kampania może obejmować osoby istotne z punktu widzenia rosyjskich władz. Po przejęciu konta napastnicy mogą czytać przychodzące wiadomości, także te wysyłane w grupach, co mogło dać im dostęp do informacji wrażliwych.
Jak hakerzy przejmują konta Signal i WhatsApp: kody weryfikacyjne i "połączone urządzenia"
W opisie działań wskazano, że ataki nie polegają na wykorzystywaniu luk technicznych. Zamiast tego napastnicy mają skłaniać użytkowników do ujawnienia kodów weryfikacyjnych i PIN-ów weryfikacyjnych, co otwiera drogę do przejęcia konta.
W scenariuszu dotyczącym Signal hakerzy mają podszywać się pod Signal Support. Wysyłają prywatne wiadomości o rzekomej podejrzanej aktywności na koncie, wycieku danych albo próbie nieautoryzowanego logowania.
Kluczowy etap oszustwa polega na wyłudzeniu danych, które dają dostęp do konta. Jeśli odbiorca uwierzy w komunikat, napastnicy proszą o kod weryfikacyjny z SMS oraz kod PIN do konta. Służby zwracają też uwagę na inną metodę: rozsyłanie kodów QR lub linków, które mają wyglądać jak zaproszenie do grupy. W praktyce mogą prowadzić do powiązania konta ofiary z urządzeniem przestępcy.
Podobne działania dotyczą WhatsApp. W tym przypadku atak ma wykorzystywać funkcję "połączone urządzenia", która pozwala korzystać z komunikatora na dodatkowym sprzęcie, np. laptopie lub tablecie.
Zalecenia MIVD i AIVD dla użytkowników: jak rozpoznać przejęte kontakty
Aby zwiększyć odporność na opisywaną kampanię, MIVD i AIVD opublikowały Cyber Advisory z instrukcjami rozpoznawania i reagowania na ataki, a także wskazówkami dla użytkowników Signal, jak identyfikować potencjalnie przejęte kontakty.
Najważniejsze elementy zaleceń obejmują: sprawdzenie list członków czatów grupowych i zwrócenie uwagi, czy ta sama osoba nie widnieje podwójnie (pod identyczną lub lekko zmienioną nazwą), weryfikację tożsamości konta innym kanałem niż Signal lub WhatsApp (np. e-mailem lub telefonem), w razie braku potwierdzenia poproszenie administratora o usunięcie obu kont z grupy, a następnie ponowne dołączenie przez właściwego użytkownika.
