Хакеры начали атаковать пользователей мессенджера Signal, пытаясь украсть резервные копии их чатов в рамках новой фишинговой кампании.
Аналитик Washington Post Джош Рогин опубликовал скриншот нового типа атаки, где хакеры, выдавая себя за службу поддержки приложения, предупреждают жертву о том, что её резервные копии чатов и медиафайлов «находятся под угрозой безвозвратной потери из-за проблемы синхронизации». Чтобы этого избежать, говорится в сообщении, жертве необходимо поделиться ключом восстановления, используемым для доступа к онлайн-резервным копиям в чате. «Это свяжет вашу существующую резервную копию с вашей учётной записью. Невыполнение этого шага может привести к потере доступа к вашей учётной записи и всем хранящимся данным», — говорится в сообщении, якобы отправленном с аккаунта Signal Support.
Рогин сообщил, что такие сообщения получили несколько активистов, выступающих против Коммунистической партии Китая. Мохаммед Аль-Маскати, директор службы поддержки цифровой безопасности Access Now, которая расследует кибератаки на журналистов, диссидентов и правозащитников, сообщил TechCrunch, что два человека прислали ему похожие сообщения. По его словам, эти двое не являются китайскими активистами. Таким образом, хакерская кампания может быть более масштабной и нацелена на разные сообщества, или же могут существовать разные группы хакеров, использующие одну и ту же стратегию.
Неясно, насколько эффективной была кампания. Аль-Маскати сказал, что кража ключей восстановления для резервных копий чатов жертвы — это лишь один шаг в атаке, и хакерам ещё предстоит захватить учётную запись жертвы.
В Signal заявляют, что «никогда не будут связываться» с пользователями первыми и никогда не будет запрашивать их регистрационный код, PIN-код или ключ восстановления. Организация публично предупреждала об этом типе атаки в прошлом месяце.
Предыдущие хакерские кампании, направленные на пользователей Signal, были нацелены на взлом учётных записей, часто с потенциальной целью украсть контакты или начать чат с другими людьми. В этих случаях хакеры не получают доступа к прошлым сообщениям, так как из-за особенностей работы мессенджера они не отображаются на новом устройстве. В данном случае один из способов просмотреть старые сообщения — это получить доступ к онлайн-резервной копии, для чего и требуется ключ восстановления.
В феврале Signal запустил Secure Backups — новую дополнительную функцию, которая позволяет пользователям загружать содержимое своих учётных записей на серверы мессенджера, где оно шифруется ключом восстановления, который «никогда не передается на серверы Signal» и «никогда не покидает» устройство пользователя. Компания рекомендует пользователям надёжно хранить ключ восстановления на ноутбуке или в менеджере паролей.
Это означает, что доступ к архиву может получить только пользователь в сценарии, когда он регистрирует свою учётную запись на новом телефоне, загружает зашифрованную резервную копию с серверов Signal, а затем расшифровывает её с помощью ключа восстановления.
ссылка на оригинал статьи https://habr.com/ru/articles/1041062/