Holenderskie służby wywiadowcze AIVD i MIVD ostrzegają, że hackers wspierani przez rosyjskie władze hackers zakrojoną na szeroką skalę kampanię mającą na celu włamanie się do kont Signal i WhatsApp osób o wysokim znaczeniu.
Celem ataków są podobno wysocy rangą urzędnicy, personel wojskowy, urzędnicy państwowi i dziennikarze. Atakujący nie łamią szyfrowania typu end-to-end ani nie wykorzystują luk w zabezpieczeniach samych aplikacji. Zamiast tego stosują sprawdzone metody phishingu i inżynierii społecznej, aby nakłonić użytkowników do podania kodów weryfikacyjnych i kodów PIN lub dodania złośliwego „urządzenia powiązanego” do ich konta.
W zeszłym roku informowaliśmy o GhostPairing, metodzie, która nakłania ofiarę do wykonania procedury parowania urządzeń WhatsApp, po cichu dodając przeglądarkę atakującego jako niewidoczne urządzenie powiązane z kontem.
W przypadkach zgłoszonych przez holenderskie służby wywiadowcze napastnicy kontaktowali się z ofiarami za pośrednictwem aplikacji Signal lub WhatsApp, podając się za „Signal Security Support Chatbot”, „Signal Support” lub podobne oficjalnie brzmiące konto.
Wiadomość zazwyczaj ostrzega o podejrzanej aktywności lub możliwym wykryciu wycieku danych i instruuje użytkownika, aby wykonał krok weryfikacyjny, aby uniknąć utraty danych lub zablokowania konta.
Ofiary są następnie proszone o przesłanie otrzymanego kodu weryfikacyjnego SMS i/lub kodu PIN aplikacji Signal.
Jeśli ofiara zastosuje się do polecenia, osoba atakująca może zarejestrować konto na urządzeniu, które kontroluje, i skutecznie przejąć nad nim kontrolę, odbierając nowe wiadomości i wysyłając wiadomości jako ofiara.
W drugim wariancie atakujący wykorzystują funkcję „urządzeń połączonych” (funkcja Signal i WhatsApp na komputerze stacjonarnym lub innym urządzeniu dodatkowym). Ofiary są nakłaniane do kliknięcia linku lub zeskanowania kodu QR, który w sposób niezauważalny łączy urządzenie atakującego z kontem ofiary. Ofiara zachowuje normalny dostęp, ale atakujący może teraz czytać wiadomości w czasie rzeczywistym bez widocznych oznak naruszenia bezpieczeństwa.
Ataki te nie są niczym nowym, ale zasługują na ponowne ostrzeżenie, ponieważ opierają się wyłącznie na ludzkich zachowaniach, a zrozumienie ich działania ułatwia ich powstrzymanie. Stosowane metody nie są zaawansowane technicznie i mogą być łatwo powielane przez podmioty niepaństwowe lub zwykłych cyberprzestępców.
Ze względu na obecne działania Rosji, AIVD i MIVD twierdzą, że aplikacje do czatowania, takie jak Signal i WhatsApp, nie nadają się do udostępniania tajnych, poufnych lub w inny sposób wrażliwych informacji rządowych, mimo że technicznie obsługują one szyfrowanie typu end-to-end.
Jak zachować poufność rozmów
Jednym z konkretnych ostrzeżeń dla docelowych użytkowników jest stosowanie wyznaczonych aplikacji do przesyłania poufnych informacji. Pomimo dostępności dedykowanych bezpiecznych systemów dla wielu z nich, niektórzy korzystali z aplikacji, które już znali — Signal i WhatsApp. Trzeba jednak uczciwie przyznać, że aplikacje te są bezpieczne, jeśli przestrzega się kilku podstawowych zasad:
Jak zapobiegać i wykrywać przejęte konta
- Nigdy nie udostępniaj kodów weryfikacyjnych ani numerów PIN. Kod weryfikacyjny SMS i numer PIN są potrzebne tylko podczas instalacji lub ponownej rejestracji aplikacji na urządzeniu. Nigdy nie są one legalnie wymagane w czacie. Wszelkie wiadomości w aplikacji, wiadomości bezpośrednie (DM), e-maile lub SMS-y z prośbą o przesłanie tych kodów są próbą phishingu.
- Nie ufaj kontom „pomocy technicznej” na czacie. Signal wyraźnie zaznacza, że dział pomocy technicznej nigdy nie skontaktuje się z Tobą za pośrednictwem wiadomości w aplikacji, SMS-ów lub mediów społecznościowych, aby poprosić Cię o podanie kodu weryfikacyjnego lub PIN-u. Traktuj wszelkie „boty pomocy technicznej Signal”, „czaty bezpieczeństwa” lub podobne jako złośliwe, blokuj je i zgłaszaj, a następnie usuwaj rozmowy.
- Zachowaj ostrożność w przypadku linków i kodów QR w czacie. Skanuj kody QR lub klikaj linki łączące urządzenia tylko wtedy , gdy sam znajdujesz się w menu łączenia urządzeń aplikacji i to Ty zainicjowałeś ten proces. Jeśli wiadomość nakłania Cię do „weryfikacji urządzenia” lub „zabezpieczenia danych” za pomocą linku lub kodu QR, załóż, że jest to część tej kampanii.
- Regularnie sprawdzaj podłączone urządzenia i członkostwo w grupach. W aplikacjach Signal i WhatsApp sprawdź listę podłączonych urządzeń i usuń wszystkie nieznane urządzenia. Zwracaj również uwagę na dziwnych uczestników grup lub zduplikowane kontakty (na przykład „usunięte konto” lub kontakt, który pojawia się dwukrotnie), które holenderskie służby wywiadowcze wymieniają jako możliwe oznaki przejęcia konta.
- Korzystaj z wbudowanych funkcji zabezpieczających. Włącz opcje takie jak blokada rejestracji, kod PIN rejestracji i powiadomienia o zmianie urządzenia, aby Twoje konto nie mogło zostać ponownie zarejestrowane bez dodatkowego hasła. Przechowuj swój kod PIN w menedżerze haseł zamiast wybierać coś łatwego do odgadnięcia lub ponownie używać popularnego kodu, aby zmniejszyć ryzyko socjotechniki lub podglądania hasła.
Używaj znikających wiadomości
Zarówno Signal, jak i WhatsApp obsługują funkcję znikających wiadomości, a korzystanie z niej może znacząco ograniczyć skutki przejęcia konta lub dostępu do urządzenia (chociaż nie zapobiega temu całkowicie).
Wiadomości o ograniczonym czasie wyświetlania i wiadomości znikające ograniczają ilość treści dostępnych dla osoby, która uzyska dostęp do czatu w późniejszym czasie lub uzyska długotrwały dostęp do urządzenia lub kopii zapasowej. Nie są one rozwiązaniem idealnym, ale mogą ograniczyć szkody.
Signal umożliwia ustawienie timera dla poszczególnych czatów, dzięki czemu wszystkie nowe wiadomości w danej rozmowie zostaną automatycznie usunięte ze wszystkich urządzeń po upływie wybranego czasu. Funkcję tę można włączyć dla czatów 1:1 lub grupowych i wybrać jeden z wielu okresów (od sekund do tygodni). Obie strony mogą zobaczyć, że funkcja jest włączona, i zmienić ustawienia timera.
WhatsApp obsługuje również wiadomości znikające z timerami dla poszczególnych czatów (oraz opcją domyślną dla nowych czatów). Wiadomości mogą być automatycznie usuwane po upływie określonego czasu, np. 24 godzin, 7 dni lub 90 dni, a nowsze wersje zawierają krótsze opcje, takie jak 1 lub 12 godzin.
Włącz tę funkcję w informacjach czatu w sekcji „Znikające wiadomości”, a następnie wybierz żądany czas; funkcja ta dotyczy tylko wiadomości wysłanych po jej włączeniu.
W przypadku szczególnie wrażliwych mediów lub wiadomości głosowych WhatsApp oferuje również funkcję„wyświetl jednokrotnie” zdjęć, wiadomości głosowych i filmów, które można otworzyć tylko raz, po czym znikają one z czatu.
Włącz uwierzytelnianie wieloskładnikowe
Opracowaliśmy kompletny przewodnik dotyczący konfiguracji weryfikacji dwuetapowej w aplikacji WhatsApp.
Aby skonfigurować uwierzytelnianie dwuskładnikowe (2FA) w aplikacji Signal, włącz funkcję blokady rejestracji, która wymaga podania ustawionego kodu PIN w celu zalogowania się na nowym urządzeniu. Otwórz aplikację Signal, przejdź doUstawienia > Privacy Blokada rejestracjii włącz tę funkcję. Dzięki temu nawet jeśli ktoś ukradnie Twoją kartę SIM, nie będzie mógł uzyskać dostępu do Twojego konta bez Twojego osobistego kodu PIN.
Nie tylko informujemy o prywatności - oferujemy możliwość korzystania z niej.
Zagrożenia dla Privacy nigdy nie powinny wykraczać poza nagłówek. Zachowaj swoją prywatność online, korzystając z Malwarebytes Privacy VPN.
