Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Rosnące znaczenie komunikatorów z szyfrowaniem end-to-end sprawia, że stają się one coraz atrakcyjniejszym celem dla operacji wywiadowczych i kampanii ukierunkowanych. Najnowsze ostrzeżenia wskazują, że podmioty powiązane z rosyjskimi służbami prowadzą działania phishingowe wymierzone w użytkowników WhatsApp i Signal, koncentrując się przede wszystkim na osobach o wysokiej wartości operacyjnej, takich jak urzędnicy, wojskowi, politycy oraz dziennikarze.
W tym przypadku celem atakujących nie jest złamanie mechanizmów szyfrowania, lecz przejęcie dostępu do kont poprzez manipulację użytkownikiem. To pokazuje, że nawet dobrze zabezpieczone aplikacje mogą zostać wykorzystane jako punkt wejścia, jeśli przeciwnik skutecznie obejdzie czynnik ludzki.
W skrócie
Atakujący podszywają się pod oficjalne wsparcie techniczne, administratorów lub inne zaufane podmioty i skłaniają ofiary do wykonania działań umożliwiających przejęcie konta. Najczęściej chodzi o kliknięcie spreparowanego linku, ujawnienie kodu weryfikacyjnego albo zatwierdzenie operacji powiązania dodatkowego urządzenia.
- celem jest uzyskanie dostępu do wiadomości i kontaktów,
- atak nie wymaga przełamania szyfrowania end-to-end,
- przejęte konto może zostać użyte do dalszych działań socjotechnicznych,
- kampania ma charakter globalny i dotyczy głównie użytkowników końcowych.
Kontekst / historia
W ostatnich latach WhatsApp i Signal stały się ważnym kanałem komunikacji dla administracji publicznej, redakcji, organizacji pozarządowych i środowisk związanych z bezpieczeństwem państwa. Dla przeciwnika oznacza to możliwość pozyskania cennych danych bez konieczności atakowania lepiej chronionych systemów korporacyjnych czy rządowych.
Obecna kampania wpisuje się w szerszy trend odchodzenia od klasycznych prób łamania zabezpieczeń technicznych na rzecz operacji opartych na socjotechnice i nadużywaniu legalnych funkcji aplikacji. Zamiast szukać słabości w kryptografii, napastnicy koncentrują się na procedurach rejestracji, odzyskiwania dostępu oraz mechanizmach łączenia urządzeń.
Analiza techniczna
Z technicznego punktu widzenia kampania bazuje na phishingu wspieranym przez dobrze przygotowaną socjotechnikę. Ofiara otrzymuje wiadomość, która wygląda na pochodzącą od wsparcia technicznego, współpracownika lub innego wiarygodnego nadawcy. Komunikat zwykle wywołuje presję czasu i sugeruje konieczność pilnego działania w celu ochrony konta lub potwierdzenia tożsamości.
Jednym z najgroźniejszych wariantów jest nadużycie funkcji powiązanych urządzeń. Jeśli użytkownik zatwierdzi próbę podłączenia dodatkowego klienta lub przekaże informacje potrzebne do rejestracji bądź odzyskania konta, atakujący może uzyskać trwały albo półtrwały dostęp do komunikacji. Nie dochodzi przy tym do naruszenia infrastruktury dostawcy ani obejścia protokołów szyfrujących.
W praktyce skutki techniczne mogą obejmować:
- odczyt bieżących i przyszłych wiadomości na przejętym urządzeniu,
- wgląd w listy kontaktów oraz uczestników grup,
- możliwość podszywania się pod ofiarę,
- rozsyłanie dalszych wiadomości phishingowych z przejętego konta,
- wykorzystanie złośliwego oprogramowania jako kolejnego etapu operacji.
To klasyczny przykład kompromitacji po stronie punktu końcowego. Szyfrowanie end-to-end nadal działa zgodnie z założeniami, ale przeciwnik uzyskuje legalnie autoryzowany dostęp dzięki przejęciu procesu uwierzytelnienia lub zaufanego urządzenia użytkownika.
Konsekwencje / ryzyko
Dla administracji publicznej, redakcji, organizacji pozarządowych oraz podmiotów infrastruktury krytycznej skutki takiego incydentu mogą być bardzo poważne. Przejęcie konta w komunikatorze może prowadzić do ujawnienia planów operacyjnych, danych kontaktowych, relacji służbowych oraz roboczych ustaleń o wysokiej wartości wywiadowczej.
Istotnym zagrożeniem jest również efekt łańcuchowy. Konto uznawane za zaufane może zostać użyte do atakowania kolejnych osób wewnątrz organizacji lub u partnerów zewnętrznych. W konsekwencji pojedynczy skuteczny phishing może doprowadzić do znacznie szerszej kompromitacji środowiska komunikacyjnego.
Ryzyko rośnie szczególnie tam, gdzie komunikatory konsumenckie są wykorzystywane do wymiany informacji wrażliwych, strategicznych lub operacyjnych. W takich przypadkach incydent może mieć skutki porównywalne z pełnoprawnym naruszeniem poufności danych.
Rekomendacje
Organizacje powinny traktować tego rodzaju kampanie jako zagrożenie operacyjne, a nie wyłącznie problem pojedynczego użytkownika. Niezbędne jest połączenie polityk bezpieczeństwa, świadomości personelu i regularnej kontroli ustawień kont.
- wdrożenie jasnych zasad korzystania z komunikatorów w pracy,
- zakaz przesyłania informacji niejawnych lub szczególnie wrażliwych przez niezatwierdzone aplikacje,
- obowiązkowe szkolenia z rozpoznawania phishingu ukierunkowanego,
- regularne sprawdzanie listy powiązanych urządzeń i usuwanie nieznanych sesji,
- stosowanie dodatkowych zabezpieczeń kont, takich jak PIN i blokada rejestracji,
- weryfikowanie nietypowych próśb drugim kanałem komunikacji,
- monitorowanie alertów o zmianach urządzeń i aktywności konta,
- przygotowanie procedur szybkiego reagowania po wykryciu kompromitacji.
Z perspektywy użytkownika końcowego podstawową zasadą pozostaje nieudostępnianie kodów weryfikacyjnych, nieklikanie w nieoczekiwane linki oraz ograniczone zaufanie wobec wiadomości rzekomo pochodzących od wsparcia technicznego. Każda nietypowa prośba związana z bezpieczeństwem konta powinna być traktowana jako potencjalna próba przejęcia dostępu.
Podsumowanie
Kampania wymierzona w użytkowników WhatsApp i Signal pokazuje, że silna kryptografia nie eliminuje ryzyka, jeśli przeciwnik skutecznie zaatakuje człowieka i proces uwierzytelniania. Współczesne operacje wywiadowcze coraz częściej omijają warstwę techniczną aplikacji i koncentrują się na przejmowaniu legalnego dostępu do kont.
Dla organizacji oznacza to konieczność łączenia zabezpieczeń technicznych z dyscypliną operacyjną i edukacją użytkowników. Najskuteczniejszą obroną pozostaje ograniczone zaufanie wobec niezweryfikowanych komunikatów, kontrola powiązanych urządzeń oraz szybka reakcja na wszelkie oznaki nietypowej aktywności.
Źródła
- https://securityaffairs.com/189808/intelligence/russia-linked-actors-target-whatsapp-and-signal-in-phishing-campaign.html
- https://english.aivd.nl/latest/news/2026/03/09/russia-targets-signal-and-whatsapp-accounts-in-cyber-campaign
- https://support.signal.org/hc/en-us/articles/360007320551-Linked-Devices
- https://support.signal.org/hc/en-us/articles/360008216551-Installing-Signal/
- https://www.ic3.gov/PSA/2025/PSA251219