Логотип Signal з QR-кодом. Джерело: thehackernews.com
Стало відомо, що російські хакери стали активно використовувати функцію зв’язаних пристроїв, щоб отримати доступ до переписки сторонніх людей. Особливу увагу вони приділяють листуванню українських військових. Спеціалісти з безпеки попереджають, що цю технологію можна використовувати і для атаки на інші месенджери.
Зв’язані пристрої – це можливість спілкуватися від імені одного аккаунту з різних пристроїв (наприклад, телефону і планшета чи комп’ютера). Хакери намагаються додати до чужих акаунтів власні пристрої. Для атаки наразі використовуються два прийоми.
- Фізичне заволодіння пристроєм – телефони, які мають доступ до груп українських військових, захоплюються у зоні бойових дій, після чого до акаунту прив’язується пристрій хакера.
- Додавання ворожого пристрою через QR-код. Загалом використовується купа різних тактик соціальної інженерії або використання посилань на фішингові сайти, що імітують офіційні ресурси Signal, щоб без відома користувача додати пристрій хакера до акаунта жертви. Цей тип атаки більш масовий.
Фахівці з Google Threat Intelligence Group (GTIG) виявили цілу мережу підроблених сайтів, що імітують сервісні сторінки Sygnal з хакерськими QR-кодами та зловмисним JavaScript кодом. Хакерські групи APT44 (Sandworm), UNC5792 і UNC4221 створюють сайти, що імітують офіційні ресурси Signal або додатки, які використовують українські військові. Наприклад, група хакерів UNC4221 створює сторінки, що імітують специфічні сервіси програми Kropyva, яку українські військові використовують для наведення артилерії. Такі сторінки виглядають легітимно, але містять код, що зламує акаунти. Окрім QR-кодів на фішингових сторінках може використовуватися JavaScript-код під назвою PINPOINT, за допомогою якого хакер отримує геолокацію жертви та іншу персональну інформацію.
Наразі, Signal вже випустив оновлення застосунків для Android та iOS, які мають завадити використанню цієї вразливості.
Фахівці з кібербезпеки Google рекомендують:
- Завжди оновлювати Signal до актуальної версії
- Регулярно перевіряти список підключених пристроїв
- Не сканувати QR-коди з неперевірених джерел
- Увімкнути автентифікацію та отримувати сповіщення про нові підключення
Signal це відкритий месенджер, що використовує наскрізне шифрування при надсиланні повідомлень, а отже має надійний захист від перехоплення повідомлень. Через це його стали активно використовувати військові, журналісти, політики і інші носії чутливої інформації.
QR-код – це двовимірне монохромне зображення, в якому може бути закодовано кілька рядків тексту. Цей стандарт обміну інформацією не передбачає можливості визначити зміст інформації без використання декодуючого пристрою, тому зловмисники іноді практикують поширення QR-кодів із посиланням на скомпрометовані ресурси. Позаяк, саме за допомогою QR-кодів проходить аутентифікація у більшості популярних месенджерів, включаючи Telegram та Viber.
Джерело: thehackernews.com