NCSC ostrzega przed przejmowaniem kont WhatsApp i Signal przez ataki socjotechniczne - Security Bez Tabu

NCSC ostrzega przed przejmowaniem kont WhatsApp i Signal przez ataki socjotechniczne

Cybersecurity news

Wprowadzenie do problemu / definicja

Brytyjskie National Cyber Security Centre (NCSC) ostrzegło przed nasileniem ukierunkowanych ataków na użytkowników komunikatorów takich jak WhatsApp, Signal i Messenger. Sednem problemu nie jest złamanie szyfrowania end-to-end, lecz wykorzystanie legalnych funkcji konta, procesu rejestracji oraz mechanizmów parowania urządzeń do uzyskania nieautoryzowanego dostępu do komunikacji.

To ważna zmiana w krajobrazie zagrożeń. Zamiast próbować obejść kryptografię, atakujący koncentrują się na manipulacji użytkownikiem, przechwytywaniu kodów weryfikacyjnych i nakłanianiu ofiar do samodzielnego zatwierdzenia dostępu z obcego urządzenia.

W skrócie

NCSC wskazuje, że rosyjskojęzyczni lub powiązani z Rosją aktorzy atakują osoby wysokiego ryzyka, wykorzystując techniki socjotechniczne do przejmowania dostępu do komunikatorów. W praktyce obejmuje to fałszywe kody QR, phishing, podszywanie się pod wsparcie techniczne oraz wyłudzanie jednorazowych kodów logowania.

Najgroźniejszy aspekt tych kampanii polega na tym, że napastnik może uzyskać dostęp do wiadomości w czasie rzeczywistym bez instalowania złośliwego oprogramowania na telefonie ofiary. Dla organizacji oznacza to ryzyko wycieku komunikacji operacyjnej, danych wrażliwych oraz informacji o sieci kontaktów.

Kontekst / historia

Ostrzeżenie NCSC wpisuje się w szerszy trend obserwowany od 2024 i 2025 roku, kiedy badacze oraz dostawcy technologii zaczęli opisywać kampanie wykorzystujące funkcję łączenia dodatkowych urządzeń z kontem w popularnych komunikatorach. Zamiast klasycznych infekcji malware, coraz częściej stosowany jest model „legalnego” przejęcia sesji przez nadużycie procesu autoryzacji.

We wcześniejszych analizach opisywano kampanie przypisywane grupom sponsorowanym przez państwo, które wykorzystywały spreparowane strony, zaproszenia grupowe i komunikaty bezpieczeństwa zawierające kody QR. Użytkownik, przekonany o autentyczności procesu, sam dopinał urządzenie kontrolowane przez atakującego do swojego konta.

Analiza techniczna

Z technicznego punktu widzenia atak bazuje na standardowych funkcjach aplikacji. WhatsApp i Signal umożliwiają powiązanie konta mobilnego z klientem desktopowym lub innym urządzeniem pomocniczym. W normalnym scenariuszu użytkownik skanuje kod QR lub potwierdza rejestrację nowej sesji. W scenariuszu ataku ten sam mechanizm służy do podłączenia urządzenia przestępcy.

Typowy łańcuch ataku wygląda następująco:

  • rozpoznanie celu i przygotowanie wiarygodnego pretekstu,
  • dostarczenie fałszywego kodu QR, linku lub prośby o kod weryfikacyjny,
  • nakłonienie ofiary do zatwierdzenia procesu parowania albo logowania,
  • uzyskanie trwałego dostępu do wiadomości lub możliwości ponownej rejestracji konta.

W praktyce atakujący stosują różne warianty operacyjne:

  • fałszywe zaproszenia do grup i kanałów,
  • komunikaty rzekomo pochodzące od zespołu bezpieczeństwa,
  • podszywanie się pod zaufany kontakt,
  • strony imitujące oficjalny interfejs logowania lub instrukcję parowania,
  • próby wyłudzenia kodu SMS lub kodu rejestracyjnego.

Kluczowe jest to, że szyfrowanie end-to-end pozostaje nienaruszone. Atakujący staje się po prostu autoryzowanym uczestnikiem komunikacji na dodatkowym urządzeniu albo przejmuje możliwość rejestracji konta. Z punktu widzenia backendu usługi wiele takich działań może wyglądać jak poprawne użycie funkcji przez właściciela konta, co utrudnia wykrycie incydentu.

Konsekwencje / ryzyko

Najwyższe ryzyko dotyczy administracji publicznej, dziennikarzy, wojska, kadry kierowniczej, aktywistów oraz pracowników organizacji operujących na danych wrażliwych. Skuteczne przejęcie sesji może prowadzić do cichego monitorowania bieżącej komunikacji i wykorzystania uzyskanych informacji w kolejnych etapach operacji.

  • podsłuch bieżących rozmów i wymiany plików,
  • ujawnienie części historycznej komunikacji dostępnej dla powiązanego klienta,
  • mapowanie relacji służbowych i sieci kontaktów,
  • wykorzystanie przejętego konta do dalszego phishingu,
  • eskalacja do ataków na pocztę, środowiska chmurowe i systemy korporacyjne.

Z perspektywy obrony szczególnie niebezpieczny jest niski próg wejścia. W wielu przypadkach nie potrzeba exploita, spyware ani obejścia zabezpieczeń systemu operacyjnego. Wystarczy jedna skuteczna manipulacja użytkownikiem, aby uzyskać dostęp do bardzo wartościowej komunikacji.

Rekomendacje

Organizacje powinny traktować komunikatory jako pełnoprawny element powierzchni ataku i objąć je procedurami bezpieczeństwa podobnymi do tych stosowanych wobec poczty elektronicznej. Kluczowe znaczenie ma połączenie świadomości użytkowników, kontroli operacyjnych i regularnego przeglądu aktywnych sesji.

  • szkolić użytkowników, że legalne wsparcie nigdy nie powinno żądać kodu weryfikacyjnego, PIN-u ani skanowania kodu QR przesłanego w wiadomości,
  • wprowadzić obowiązek weryfikacji poza kanałem dla próśb dotyczących bezpieczeństwa konta,
  • regularnie sprawdzać listę powiązanych urządzeń i usuwać nieznane sesje,
  • włączać dodatkowe mechanizmy ochronne, takie jak PIN rejestracyjny i alerty bezpieczeństwa,
  • aktualizować aplikacje mobilne i desktopowe do najnowszych wersji,
  • ograniczać użycie prywatnych komunikatorów do przesyłania informacji o wysokiej wrażliwości,
  • uwzględnić przejęcie konta komunikatora w procedurach reagowania na incydenty.

W razie podejrzenia kompromitacji należy natychmiast wylogować wszystkie powiązane urządzenia, ponownie zabezpieczyć konto, poinformować kontakty o możliwości podszywania się i przeanalizować, jakie informacje mogły zostać ujawnione. Jeżeli komunikator był wykorzystywany służbowo, incydent powinien być traktowany jako potencjalne naruszenie poufności informacji.

Podsumowanie

Ostrzeżenie NCSC potwierdza, że współczesne ataki na komunikatory coraz częściej omijają ochronę kryptograficzną przez przejęcie legalnego dostępu do konta. WhatsApp i Signal nadal oferują silne szyfrowanie, ale bezpieczeństwo użytkownika zależy również od odporności na phishing, właściwej kontroli sesji i konsekwentnej higieny operacyjnej.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia modelu ochrony o nadużycia funkcji parowania urządzeń, wyłudzenia kodów oraz kampanie impersonacyjne skierowane do osób wysokiego ryzyka. To właśnie użytkownik i proces autoryzacji stają się dziś jednym z najważniejszych punktów obrony.

Źródła

  1. NCSC warns of messaging app targeting — https://www.ncsc.gov.uk/news/ncsc-warns-of-messaging-app-targeting
  2. New Star Blizzard spear-phishing campaign targets WhatsApp accounts — https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/
  3. Staying Safe from Phishing, Scams, and Impersonation – Signal Support — https://support.signal.org/hc/en-us/articles/9932566320410-Staying-Safe-from-Phishing-Scams-and-Impersonation
  4. Russia-aligned hackers are targeting Signal users with device-linking QR codes — https://arstechnica.com/information-technology/2025/02/russia-aligned-hackers-are-targeting-signal-users-with-device-linking-qr-codes/
  5. NCSC warns high-risk individuals of Signal and WhatsApp social engineering attacks — https://www.computerweekly.com/news/366641058/NCSC-warns-high-risk-individuals-of-Signal-and-WhatsApp-social-engineering-attacks