Η Signal επιβεβαίωσε επίσημα ένα συνεχιζόμενο κύμα στοχευμένων καμπανιών ηλεκτρονικού ψαρέματος (phishing) με αποτέλεσμα την επιτυχή εξαγορά λογαριασμών για χρήστες υψηλού προφίλ, συμπεριλαμβανομένων δημοσιογράφων και κυβερνητικών αξιωματούχων.
Η υπηρεσία κρυπτογραφημένων μηνυμάτων δήλωσε ρητά ότι η βασική της υποδομή και τα πρωτόκολλα κρυπτογράφησης από άκρο σε άκρο παραμένουν άθικτα και εντελώς ασυμβίβαστα. Αντί να εκμεταλλεύονται τεχνικά τρωτά σημεία, οι παράγοντες απειλών παρακάμπτουν τα όρια ασφαλείας χειραγωγώντας άμεσα το ανθρώπινο στοιχείο.
Αυτές οι στοχευμένες καμπάνιες υπογραμμίζουν την αυξανόμενη τάση των παραγόντων απειλών που μετατοπίζουν την εστίαση από σύνθετες εκμεταλλεύσεις λογισμικού στην εκμετάλλευση της εμπιστοσύνης των χρηστών. Μόλις ένας εισβολέας εφοδιάσει με επιτυχία μια νέα συσκευή με τον αριθμό τηλεφώνου του θύματος, μπορεί να μιμηθεί τον στόχο και να επικοινωνήσει με τις επαφές του, θέτοντας σοβαρούς κινδύνους για το απόρρητο για άτομα που χειρίζονται ευαίσθητες πληροφορίες.
Τακτική και Κοινωνική Μηχανική
Οι φορείς απειλών εκτελούν αυτές τις εξαγορές λογαριασμών μέσω εξαιρετικά πειστικών λειτουργιών κοινωνικής μηχανικής. Οι εισβολείς υποδύονται συστηματικά αξιόπιστες οντότητες, κυρίως χρησιμοποιώντας ένα κατασκευασμένο “Signal Support Bot” για να ξεκινήσουν επαφή με πιθανούς στόχους.
Μέσω αυτών των παραπλανητικών επικοινωνιών, τα θύματα χειραγωγούνται ώστε να αποκαλύπτουν κρίσιμα δεδομένα ελέγχου ταυτότητας που απαιτούνται για την παροχή συσκευών. Ο πρωταρχικός στόχος της καμπάνιας είναι η συλλογή των κωδικών επαλήθευσης SMS και των ιδιωτικών PIN σήματος του χρήστη.
Η Signal τόνισε ότι οι επίσημοι εκπρόσωποι υποστήριξης δεν θα ξεκινήσουν ποτέ επαφή μέσω μηνυμάτων εντός εφαρμογής, SMS ή μέσων κοινωνικής δικτύωσης για να ζητήσουν διαπιστευτήρια επαλήθευσης. Η εταιρεία σημειώνει ότι ο κωδικός επαλήθευσης SMS απαιτείται αυστηρά μόνο κατά την αρχική διαδικασία εγγραφής για την εφαρμογή Signal.
Η πλατφόρμα προειδοποιεί ενεργά τους χρήστες να μην κοινοποιήσουν αυτές τις λεπτομέρειες, καθιστώντας σαφές κατά την αρχική εγγραφή ότι οποιοδήποτε εξωτερικό αίτημα για κωδικό που σχετίζεται με το σήμα είναι σίγουρα απάτη.
Ενώ η Signal συνεχίζει να αναπτύσσει τεχνικές διασφαλίσεις και βελτιώσεις διεπαφής για τον μετριασμό αυτών των κινδύνων, η εταιρεία σημειώνει ότι η επαγρύπνηση των χρηστών παραμένει ο πιο κρίσιμος αμυντικός μηχανισμός.
Οι αναλυτές ασφαλείας συμβουλεύουν σθεναρά τους στόχους υψηλού κινδύνου να εφαρμόζουν αυστηρές επιχειρησιακές πρακτικές ασφάλειας για την αποτροπή μη εξουσιοδοτημένης παροχής συσκευών.
