FBI og Cybersecurity and Infrastructure Security Agency (CISA) advarer om, at russisk-støttede hackere har udviklet en ny phishing-metode, der går efter Signals gendannelsesnøgle til sikkerhedskopier. I stedet for at forsøge at bryde Signals ende-til-ende-kryptering narer angriberne ofrene til at afsløre den gendannelsesnøgle, der beskytter krypterede sikkerhedskopier i skyen.
Den opdaterede advarsel bygger videre på en meddelelse, som myndighederne udsendte tidligere på året, og viser, at kampagnen har skiftet fokus fra kontoovertagelse til tyveri af Signals gendannelsesnøgle til sikkerhedskopier.
Angriberne går nu efter Signals gendannelsesnøgle
Ifølge FBI fortsætter russiske efterretningstjenester med at udgive sig for at være medarbejdere fra Signals kundesupport i phishing-kampagner rettet mod personer med adgang til følsomme oplysninger.
Angriberne overtaler først ofrene til at aktivere Signal Secure Backups og oprette en gendannelsesnøgle ved at påstå, at beskedtjenesten har indført obligatoriske sikkerhedsændringer.
Phishing-beskederne advarer fejlagtigt om øgede angreb fra hackere i Iran og andre tidligere sovjetrepublikker. Derefter guider de brugerne gennem opsætningen af sikkerhedskopier, så instruktionerne fremstår som en legitim sikkerhedsopdatering.
Falske supportbeskeder beder om gendannelsesnøglen
Når ofrene har aktiveret krypterede sikkerhedskopier, sender angriberne endnu en phishing-besked. Her hævder de, at et synkroniseringsproblem kan føre til permanent tab af gemte samtaler.
Den falske supportbesked beder brugerne om at åbne indstillingerne for sikkerhedskopiering, kopiere Signals gendannelsesnøgle og indsætte den i chatten for at undgå datatab.
Gendannelsesnøglen krypterer alle skysikkerhedskopier, der oprettes via Signal Secure Backups. Enhver, der får fat i nøglen, kan gendanne sikkerhedskopierne på en anden enhed og læse gemte samtaler, herunder private chats, gruppemeddelelser, billeder og andre vedhæftede filer.
Offentlige embedsmænd er de primære mål
FBI oplyser, at kampagnen primært retter sig mod personer med adgang til følsomme oplysninger.
Nuværende og tidligere embedsmænd, militært personel, journalister, politikere og personer med tilknytning til Ukraine er blandt de vigtigste mål.
Amerikanske myndigheder tilskriver aktiviteten russiske efterretningstjenester, herunder personale med tilknytning til Ruslands føderale sikkerhedstjenestes (FSB) grænsevagt samt andre aktører, der støtter det russiske militær.
Sikkerhedsforskere følger kampagnen under betegnelserne UNC5792 og UNC4221.
Det er ikke nok at oprette en ny konto
FBI advarer om, at det ikke gør en stjålet gendannelsesnøgle ugyldig at oprette en ny Signal-konto med det samme telefonnummer.
Brugerne skal i stedet oprette en ny gendannelsesnøgle via Signals indstillinger for sikkerhedskopiering. Det forhindrer fremtidige gendannelser med den gamle nøgle, men stopper ikke angribere i at få adgang til data, de allerede har gendannet, før nøglen blev ændret.
Sådan beskytter du dig
FBI og CISA anbefaler, at brugere behandler Signals gendannelsesnøgle som enhver anden meget følsom sikkerhedsoplysning. Del den aldrig med nogen – uanset hvem der beder om den.
Signals kundesupport vil aldrig bede brugere om at oplyse gendannelsesnøgler, bekræftelseskoder, PIN-koder eller andre følsomme oplysninger via chatbeskeder eller uopfordrede links.
Kampagnen viser, hvordan angribere i stigende grad benytter social engineering frem for tekniske angreb. I stedet for at forsøge at bryde Signals kryptering manipulerer de brugerne til frivilligt at afsløre den ene oplysning, der er nødvendig for at gendanne krypterede sikkerhedskopier i skyen.


0 svar til “FBI advarer: Russiske hackere går nu efter Signals gendannelsesnøgler til sikkerhedskopier”