A Signal hosszú ideje a biztonságos kommunikáció egyik etalonjának számít. Az alkalmazás végpontok közötti titkosítást használ, ezért sok újságíró, aktivista, vállalati vezető és biztonságtudatos felhasználó választja mindennapi kommunikációra. Azonban egy új adathalász kampány a felhasználókat veszi célba, hogy megszerezze a biztonsági mentések helyreállításához szükséges kulcsokat.
A támadás SMS-ben érkezik, és a támadók a Signal ügyfélszolgálatának adják ki magukat. Az üzenet azt állítja, hogy a felhasználó felhőben tárolt biztonsági mentése szinkronizációs problémába ütközött, ezért fennáll az adatvesztés veszélye. A probléma megoldásához arra kérik az áldozatot, hogy küldje el a biztonsági mentés helyreállítási kulcsát. A sürgető hangnem és az adatvesztéssel való fenyegetés klasszikus pszichológiai manipulációs technika, amely az adathalász támadások egyik leggyakoribb eszköze. A támadás különösen veszélyes, mert nem egyszerűen egy bejelentkezési adatot próbál megszerezni.
A Signal biztonsági mentéseit egy 64 karakteres helyreállítási kulcs védi, amely lehetővé teszi a titkosított üzenetarchívum visszaállítását egy másik eszközön. Ha ez a kulcs illetéktelen kézbe kerül, a támadó hozzáférhet a korábbi beszélgetésekhez, fényképekhez, dokumentumokhoz és egyéb archivált tartalmakhoz. A támadók tehát nem csupán a jövőbeni kommunikáció megfigyelésére törekednek, hanem akár évek üzenetváltásait is megszerezhetik.
A kampány első áldozatai között aktivisták, újságírók és emberi jogi szervezetek munkatársai is szerepeltek, de a biztonsági szakértők szerint semmi nem utal arra, hogy a támadók kizárólag ezeket a csoportokat céloznák. Több, egymástól független bejelentés alapján valószínű, hogy a módszer hamarosan szélesebb körben is elterjedhet.
A közösségi manipulációs módszerek gyakran sokkal hatékonyabbak, mint egy bonyolult technikai támadás, hiszen egyetlen sikeres megtévesztés elegendő lehet a hozzáférés megszerzéséhez. A Signal és más biztonsági kommunikációs platformok felhasználói számára ezért kiemelten fontos megérteni, hogy sem a szolgáltató ügyfélszolgálata, sem a rendszergazdák nem kérik el a helyreállítási kulcsot, a PIN-kódot vagy más hitelesítési adatot üzenetben. A helyreállítási kulcs kizárólag a felhasználó birtokában maradhat, és azt semmilyen körülmények között nem szabad megosztani. Javasoljuk, hogy ezeket az adatokat jelszókezelő alkalmazásban vagy biztonságos offline tárolóban őrizzük. Az elmúlt hónapokban több, Signal-felhasználókat célzó támadás is napvilágra került. Egyes esetekben hamis biztonsági chatbotokkal, máskor QR kódokkal vagy megtévesztő hitelesítési folyamatokkal próbálták rávenni a felhasználókat arra, hogy saját maguk adják át a hozzáférést a fiókjukhoz.
A mostani incidens legfontosabb tanulsága, hogy a biztonság nem ér véget a titkosítással. A legerősebb kriptográfiai védelem sem ér sokat, ha a felhasználó önként átadja a támadóknak a kulcsot. A modern információbiztonságban ezért egyre nagyobb szerepet kap a felhasználói tudatosság, a gyanús üzenetek felismerése és az érzékeny adatok megfelelő kezelése. A Signal továbbra is az egyik legbiztonságosabb kommunikációs platformnak számít, de a mostani eset ismét emlékeztet arra, hogy a támadók számára a legkönnyebb célpont gyakran nem a rendszer, hanem annak felhasználója.