ФБР и CISA (Агентство по кибербезопасности и безопасности инфраструктуры США) выпустили совместное предупреждение о продолжающейся фишинговой кампании против пользователей коммерческих мессенджеров. По данным американских ведомств, атаки ведут якобы хакеры, связанные с российскими спецслужбами и нацелены они не на взлом самих приложений, а на захват отдельных пользовательских аккаунтов.
В официальном сообщении говорится, что злоумышленники уже получили несанкционированный доступ к тысячам аккаунтов. Основные цели кампании — люди, представляющие высокий разведывательный интерес: действующие и бывшие чиновники США, военные, политические фигуры и журналисты.
Ключевая деталь: ФБР и CISA отдельно подчеркивают, что речь не идет о компрометации шифрования мессенджеров или самих приложений. Взлом происходит на уровне конкретных учетных записей — через социальную инженерию и фишинг. CyberScoop отмечает, что это предупреждение стало продолжением более ранних сигналов от европейских спецслужб, в том числе из Нидерландов и Германии.
По данным ФБР и CISA, злоумышленники выдают себя за автоматические аккаунты поддержки мессенджера и отправляют жертве сообщения с просьбой перейти по ссылке, отсканировать QR-код или сообщить PIN и коды подтверждения. Если пользователь выполняет эти действия, атакующие либо привязывают к аккаунту свое устройство через функцию привязанных к аккаунту устройств, либо полностью перехватывают учетную запись.
В предупреждении прямо сказано, что кампанию особенно часто связывают с атаками на Signal, хотя те же методы могут применяться и против других мессенджеров. После компрометации аккаунта злоумышленники могут читать переписку, видеть список контактов, отправлять сообщения от имени жертвы и использовать захваченный аккаунт для новых фишинговых атак на других пользователей.
Дополнительное подтверждение этой схемы ранее дали нидерландские спецслужбы AIVD и MIVD. В их сообщении от 9 марта говорится, что российские государственные хакеры ведут масштабную глобальную кампанию по получению доступа к аккаунтам Signal и WhatsApp, используемым чиновниками, военными и госслужащими. Нидерландские ведомства подтвердили, что среди целей и пострадавших были и сотрудники правительства Нидерландов.
AIVD отдельно подчеркивает, что злоумышленники чаще всего маскируются под чат-бота Signal Support и убеждают жертву передать коды безопасности. Также используется функция привязки дополнительных устройств. После этого атакующие могут читать входящие сообщения, включая переписку в групповых чатах, и получать доступ к чувствительной информации.
Еще одна важная деталь из нидерландского предупреждения: это не история про уязвимость в Signal или WhatsApp (принадлежит Meta, деятельность которой признана экстремистской и запрещена на территории РФ). По оценке AIVD, атакующие не ломают сами сервисы, а злоупотребляют их штатными функциями безопасности и давят на пользователя через обман. Это хорошо совпадает с позицией FBI и CISA, которые тоже говорят о фишинге и компрометации отдельных аккаунтов, а не платформ целиком.
Американские ведомства советуют не передавать никому PIN, 2FA-коды и коды подтверждения, особенно если пользователь сам не инициировал вход. Также рекомендуется с подозрением относиться к неожиданным сообщениям даже от знакомых контактов, проверять ссылки перед переходом, регулярно смотреть список участников групп и сообщать о подобных инцидентах в ИБ-службу организации или в ФБР.
Отдельно ФБР и CISA напоминают, что end-to-end шифрование само по себе не спасает, если атакующий получает доступ к уже авторизованному аккаунту. В таком сценарии защита переписки не ломается технически — злоумышленник просто начинает читать сообщения как будто он и есть владелец учетной записи.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
