Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Nowa kampania phishingowa wymierzona w użytkowników Signal pokazuje, że cyberprzestępcy coraz częściej koncentrują się nie na przejęciu samego konta, lecz na uzyskaniu dostępu do archiwalnych danych. W tym scenariuszu napastnicy podszywają się pod wsparcie techniczne komunikatora i próbują nakłonić ofiary do ujawnienia klucza odzyskiwania kopii zapasowej.
To szczególnie groźny wariant ataku, ponieważ przejęcie takiego sekretu może otworzyć drogę do odszyfrowania zapisanej historii wiadomości. W efekcie zagrożone są nie tylko przyszłe rozmowy, ale również wcześniejsza komunikacja, kontakty i materiały przechowywane w archiwum.
W skrócie
Kampania rozpoczyna się od wiadomości podszywającej się pod oficjalny kontakt ze wsparciem Signal. Ofiara otrzymuje alarmistyczny komunikat o rzekomej awarii synchronizacji, problemie z kopią zapasową lub ryzyku utraty danych.
Następnie użytkownik jest proszony o skopiowanie i przesłanie 64-znakowego klucza odzyskiwania. Jeśli napastnik zdobędzie ten sekret i powiązany dostęp do zaszyfrowanej kopii, może uzyskać wgląd w historię zapisanych konwersacji. Z informacji o kampanii wynika, że ataki są ukierunkowane przede wszystkim na dziennikarzy, aktywistów i osoby pracujące z danymi wrażliwymi.
Kontekst / historia
Signal od lat uchodzi za jeden z najbezpieczniejszych komunikatorów, dlatego stanowi atrakcyjny cel dla grup prowadzących działania szpiegowskie i ukierunkowane kampanie socjotechniczne. Samo przejęcie bieżącej sesji często daje dostęp głównie do przyszłej komunikacji, natomiast zdobycie archiwum rozmów może mieć znacznie większą wartość operacyjną.
Obecna kampania wpisuje się w szerszy trend nadużywania zaufania do narzędzi komunikacyjnych oraz podszywania się pod zespoły wsparcia technicznego. Atakujący wykorzystują renomę platformy i naturalny lęk użytkownika przed utratą danych, aby skłonić go do samodzielnego przekazania kluczowego sekretu.
Analiza techniczna
Mechanizm ataku jest prosty, ale skuteczny. Napastnik wysyła wiadomość, która imituje oficjalny kontakt od zespołu wsparcia. Treść zwykle buduje presję czasu i sugeruje konieczność pilnej reakcji, na przykład w celu ochrony kopii zapasowej lub utrzymania dostępu do zapisanych wiadomości.
Kolejny etap polega na nakłonieniu ofiary do wejścia w ustawienia aplikacji, odnalezienia klucza odzyskiwania i przesłania go atakującemu. Klucz ten jest krytycznym elementem bezpieczeństwa funkcji bezpiecznych kopii zapasowych i z założenia nie powinien być nikomu udostępniany.
Jeżeli sekret zostanie ujawniony, a napastnik uzyska możliwość pobrania zaszyfrowanej kopii zapasowej, może podjąć próbę odszyfrowania całej historii komunikacji. To oznacza ryzyko ekspozycji dawnych rozmów, kontaktów źródłowych, materiałów roboczych, dokumentów oraz ustaleń prowadzonych przez miesiące lub lata.
Skuteczność kampanii wzmacnia socjotechnika oparta na emocjach. Użytkownik działa pod wpływem presji, obawy o utratę danych i zaufania do marki Signal, przez co łatwiej ignoruje podstawowe zasady bezpieczeństwa.
Konsekwencje / ryzyko
Skutki takiego phishingu mogą być bardzo poważne. W przypadku dziennikarzy zagrożone jest bezpieczeństwo źródeł, poufność materiałów redakcyjnych i możliwość odtworzenia wcześniejszych relacji zawodowych. Dla aktywistów i obrońców praw człowieka stawką może być ujawnienie sieci współpracowników, planów działań i komunikacji organizacyjnej.
W środowisku firmowym oraz instytucjonalnym incydent może prowadzić do wycieku informacji o procesach decyzyjnych, nieformalnych kanałach komunikacji i wcześniej przekazywanych dokumentach. W przeciwieństwie do klasycznego phishingu wymierzonego w hasła czy kody jednorazowe, tutaj wartość dla przeciwnika wynika z dostępu retrospektywnego, często cenniejszego z perspektywy operacyjnej.
Dodatkowym problemem jest niski próg wejścia dla naśladowców. Tego typu technika może zostać szybko skopiowana przez kolejne grupy przestępcze, ponieważ jej skuteczność zależy przede wszystkim od dobrze przygotowanej manipulacji, a nie od zaawansowanych narzędzi technicznych.
Rekomendacje
Użytkownicy Signal powinni traktować każdą niezamówioną wiadomość od rzekomego wsparcia technicznego jako potencjalnie złośliwą. Klucze odzyskiwania, PIN-y, kody rejestracyjne i inne sekrety uwierzytelniające nie powinny być przekazywane przez czat, SMS, e-mail ani telefon.
- Nie udostępniaj klucza odzyskiwania kopii zapasowej pod żadnym pozorem.
- Weryfikuj tożsamość nadawcy i zachowuj ostrożność wobec alarmistycznych komunikatów.
- Korzystaj z dodatkowych mechanizmów ochrony, takich jak PIN i blokada rejestracji.
- Ograniczaj ilość przechowywanej historii wiadomości, jeśli wymaga tego model zagrożeń.
- Szkol zespoły wysokiego ryzyka z rozpoznawania phishingu ukierunkowanego.
- W razie podejrzenia ujawnienia sekretu natychmiast przeprowadź ocenę incydentu i zmianę ustawień bezpieczeństwa.
Organizacje powinny również uwzględnić komunikatory szyfrowane w politykach bezpieczeństwa operacyjnego. Dotyczy to zarówno zasad korzystania z kopii zapasowych, jak i scenariuszy reagowania na kompromitację kont osób o podwyższonym profilu ryzyka.
Podsumowanie
Kampania phishingowa wymierzona w użytkowników Signal pokazuje, że nawet silne szyfrowanie nie eliminuje zagrożeń wynikających z socjotechniki. Przejęcie klucza odzyskiwania kopii zapasowej może dać atakującemu dostęp nie tylko do przyszłej komunikacji, ale również do całego archiwum wcześniejszych rozmów.
Dla dziennikarzy, aktywistów, prawników i wszystkich osób pracujących na danych wrażliwych oznacza to realne ryzyko utraty poufności i deanonimizacji kontaktów. Najważniejszą zasadą pozostaje bezwzględna ochrona sekretów odzyskiwania oraz odrzucanie każdej prośby o ich ujawnienie, niezależnie od tego, jak wiarygodnie wygląda wiadomość.
Źródła
- Signal Phishing Campaign Targets Journalists and Activists to Steal Backup Recovery Keys — https://securityaffairs.com/192899/security/signal-phishing-campaign-targets-journalists-and-activists-to-steal-backup-recovery-keys.html
- A new phishing campaign is targeting Signal users by attempting to steal their backup recovery keys — https://www.malwarebytes.com/blog/news/2026/05/a-new-phishing-campaign-is-targeting-signal-users-by-attempting-to-steal-their-backup-recovery-keys
- Signal Support: Scams and phishing attacks — https://support.signal.org/hc/en-us/articles/360007320111-Scams-and-phishing-attacks