Голландские спецслужбы AIVD и MIVD предупреждают, что hackers , поддерживаемые российским государством, hackers широкомасштабную кампанию по взлому учетных записей Signal и WhatsApp высокопоставленных лиц.
Целями, как утверждается, являются высокопоставленные чиновники, военнослужащие, государственные служащие и журналисты. Злоумышленники не взламывают сквозное шифрование и не используют уязвимости в самих приложениях. Вместо этого они полагаются на проверенные методы фишинга и социальной инженерии, чтобы обманом заставить пользователей передать им коды подтверждения и PIN-коды или добавить в свои учетные записи вредоносное «подключенное устройство».
В прошлом году мы сообщали о GhostPairing, методе, который обманывает цель, заставляя ее выполнить процедуру сопряжения устройств WhatsApp, незаметно добавляя браузер злоумышленника в качестве невидимого связанного устройства к учетной записи.
В случаях, о которых сообщили голландские спецслужбы, злоумышленники связывались с жертвами через Signal или WhatsApp, выдавая себя за «Signal Security Support Chatbot», «Signal Support» или аналогичный официально звучащий аккаунт.
Сообщение обычно предупреждает о подозрительной активности или возможном обнаружении утечки данных и предлагает пользователю пройти процедуру проверки, чтобы избежать потери данных или блокировки учетной записи.
Затем жертвам предлагается отправить обратно только что полученный SMS-код подтверждения и/или PIN-код Signal.
Если жертва подчиняется, злоумышленник может зарегистрировать учетную запись на устройстве, которое он контролирует, и фактически завладеть ею, получая новые сообщения и отправляя сообщения от имени жертвы.
Во втором варианте злоумышленники злоупотребляют функцией «связанных устройств» (настольная версия Signal и WhatsApp или другая функция вторичного устройства). Жертвам предлагается перейти по ссылке или отсканировать QR-код, который незаметно связывает устройство злоумышленника с учетной записью жертвы. Жертва сохраняет доступ как обычно, но злоумышленник теперь может читать сообщения в режиме реального времени без явных признаков взлома.
Эти атаки не являются чем-то новым, но заслуживают повторного предупреждения, поскольку они полностью основаны на поведении людей, и понимание их механизма действия позволяет легче их предотвратить. Используемые методы не являются технически сложными и могут быть легко скопированы негосударственными субъектами или обычными киберпреступниками.
В связи с текущими российскими кампаниями AIVD и MIVD заявляют, что приложения для чата, такие как Signal и WhatsApp, не подходят для обмена секретной, конфиденциальной или иной чувствительной правительственной информацией, даже несмотря на то, что технически они поддерживают сквозное шифрование.
Как сохранить конфиденциальность ваших разговоров
Одно конкретное предупреждение для целевых пользователей — использовать специальные приложения для конфиденциальной информации. Несмотря на то, что многим из них доступны специальные безопасные системы, некоторые прибегают к уже знакомым приложениям — Signal и WhatsApp. И, честно говоря, эти приложения безопасны, если соблюдать несколько основных правил:
Как предотвратить и обнаружить взломанные учетные записи
- Никогда не сообщайте коды подтверждения или PIN-коды. Код подтверждения по SMS и PIN-код требуются только при установке или повторной регистрации приложения на устройстве. Их никогда не запрашивают в чате. Любое сообщение в приложении, личное сообщение (DM), электронное письмо или SMS с просьбой отправить эти коды является попыткой фишинга.
- Не доверяйте «поддержке» в чате. Signal прямо заявляет, что служба поддержки никогда не будет связываться с вами через сообщения в приложении, SMS или социальные сети, чтобы запросить ваш код подтверждения или PIN-код. Рассматривайте любой «бот поддержки Signal», «чат-бот безопасности» или подобные боты как вредоносные, блокируйте и сообщайте о них, а затем удаляйте переписку.
- Будьте осторожны с ссылками и QR-кодами в чате. Сканируйте QR-коды или переходите по ссылкам для подключения устройств только в том случае, если вы сами находитесь в меню подключения устройств приложения и инициировали этот процесс. Если в сообщении вас просят «подтвердить свое устройство» или «защитить свои данные» с помощью ссылки или QR-кода, считайте, что это часть этой кампании.
- Регулярно проверяйте связанные устройства и членство в группах. В Signal и WhatsApp проверьте список связанных устройств и удалите все, что вам не знакомо. Также обращайте внимание на странных участников групп или дублирующиеся контакты (например, «удаленный аккаунт» или контакт, который появляется дважды), которые голландские спецслужбы упоминают как возможные признаки взлома аккаунта.
- Используйте встроенные функции защиты. Включите такие опции, как блокировка регистрации, PIN-код для регистрации и оповещения об изменении устройства, чтобы ваша учетная запись не могла быть незаметно перерегистрирована без дополнительного секретного кода. Храните свой PIN-код в менеджере паролей, а не выбирайте что-то легко угадываемое или повторно используйте общий код, чтобы снизить вероятность социальной инженерии или подглядывания.
Используйте исчезающие сообщения
Как Signal, так и WhatsApp поддерживают исчезающие сообщения, и их использование может значительно ограничить последствия взлома учетной записи или доступа к устройству (хотя и не предотвратить их полностью).
Сообщения с ограниченным сроком хранения и исчезающие сообщения сокращают объем доступного контента, если злоумышленник позже проникнет в чат или если кто-то получит долгосрочный доступ к устройству или резервной копии. Они не являются полным решением, но могут ограничить ущерб.
Signal позволяет установить таймер для каждого чата, чтобы все новые сообщения в этом разговоре автоматически удалялись со всех устройств по истечении выбранного периода времени. Вы можете включить эту функцию для индивидуальных или групповых чатов и выбрать один из нескольких вариантов продолжительности (от секунд до недель). Любая из сторон может увидеть, что функция включена, и изменить настройки таймера.
WhatsApp также поддерживает исчезающие сообщения с таймерами для каждого чата (и опцией по умолчанию для новых чатов). Сообщения могут автоматически удаляться через определенные промежутки времени, например 24 часа, 7 дней или 90 дней, а в более новых версиях добавлены более короткие варианты, такие как 1 или 12 часов.
Вы включаете эту функцию в настройках чата в разделе «Исчезающие сообщения», затем выбираете желаемый таймер; функция действует только на сообщения, отправленные после ее включения.
Для особо конфиденциальных сообщений или голосовых сообщений WhatsApp также предлагает функцию«просмотр один раз»для фотографий, голосовых сообщений и видео, которые можно открыть только один раз, после чего они исчезают из чата.
Включить многофакторную аутентификацию
Мы написали полное руководство по настройке двухэтапной проверки в WhatsApp.
Чтобы настроить двухфакторную аутентификацию (2FA) в Signal, включите функцию «Блокировка регистрации», которая требует ввода установленного PIN-кода для входа на новом устройстве. Откройте Signal, перейдите в«Настройки» > Privacy «Блокировка регистрации»и включите эту функцию. Это гарантирует, что даже если кто-то украдет вашу SIM-карту, он не сможет получить доступ к вашей учетной записи без вашего личного PIN-кода.
Мы не просто сообщаем о конфиденциальности - мы предлагаем вам воспользоваться ею.
Риски Privacy не должны выходить за рамки заголовка. Сохраняйте конфиденциальность в Интернете с помощью Malwarebytes Privacy VPN.
