Жителям оккупированного Мелитополя приходят сообщения о том, что мессенджер Signal якобы был взломан и пользоваться им опасно.
Все чаще появляются сообщения о том, что мессенджер Signal якобы был взломан и пользоваться им опасно. Одним из способов взлома являются сообщения злоумышленников, которые выдают себя за службу безопасности мессенджера.
По информации Госспецсвязи, сообщение о взломе мессенджера не соответствует действительности. По состоянию на август 2023 года новых известных уязвимостей, о которых пользователям нужно волноваться, зафиксировано не было. Помните, служба безопасности Signal никогда не общается с пользователями через такие сообщения, а также не звонит им и не отправляет SMS.
Signal - один из самых популярных мессенджеров среди украинских военных. Госспецсвязи отвечает на самые популярные вопросы о его работе и рассказывает, как сделать пользование приложением максимально безопасным.
Как злоумышленники могут получить доступ к аккаунту в Signal?
Госспецсвязи перечисляет самые популярные методы, с помощью которых злоумышленники пытаются получить доступ к чужим аккаунтам в Signal:
Зная ваш номер телефона, российские злоумышленники могут перехватить SMS с кодом доступа на приложение на телефон российскими средствами РЭБ и подставными станциями мобильной связи (которые возможны даже на беспилотниках). Такой риск довольно высок в приграничных районах и зоне боевых действий.
Самым популярным способом является взлом через компьютерную версию Signal - через отправку документа Word / Excel или других файлов в архиве через Signal, которые выполнятся, и злоумышленники смогут скрыто следить за экраном, делать скриншоты и перехватывать нажатия клавиш на клавиатуре.
Также российские хакеры могут похитить сессию компьютерной версии Signal и скрыто следить за сообщениями в учетной записи и группах; и даже эксплуатируя доверие между абонентами отправкой сообщений легитимным абонентам (опять же - для дальнейшего продвижения и захвата других компьютеров и аккаунтов).
Часто злоумышленники притворяются службой безопасности Signal, чтобы выманить чувствительные данные. При целенаправленных атаках против конкретных руководителей и офицеров - злоумышленники проводят детализированный сбор информации и имеют достаточно контактов знакомых и друзей, притворяясь которыми, просят совершить определенные действия.
В Госспецсвязи отмечают, что перезвонить даже по незащищенной связи, но для валидации абонента - лучше, чем принимать и сразу доверять сообщениям. Также нельзя доверять файлам в архивах и надо обязательно использовать антивирус на компьютере. Кроме того, с особой опаской надо относиться к сообщениям от непроверенного адресанта со словами "немедленно", "срочно", "важно".
Зафиксированы случаи, когда российские хакеры из ФСБ и ГРУ смогли вклиниться через похищенные мобильные устройства (например, пленных военнослужащих) и скомпрометированные Windows компьютеры и получили доступ к чатам / группам, где передавались важные отчеты. Участники группы не знали о компрометации одного из участников.
В Госспецсвязи отмечают важность внимательной проверки и верификации с разработчиками целостности (checksum) специализированных приложений для Android, которые распространяются через группы в Signal и устанавливаются на мобильные устройства.
Как защитить свой Signal от взлома?
- Не добавлять неизвестных и непроверенных контактов. Внимательно верифицировать, кто находится в группе. Идентификация и авторизация новичков. Чем меньше админов - тем лучше. Не доверять большим группам в Signal.
- Настроить удаление сообщений за час или один день, в зависимости от ваших потребностей. Но точно лучше, чтобы сообщения автоматически удалялись. Зарегистрировать Signal на номер, который с вами не связан (воспользоваться сервисами).
- Таким образом российские военные хакеры, даже получив информацию о списках (например, руководителей артиллерийских бригад), не смогут таргетировано работать против вас, вас надо будет еще найти. Проверять подключенные устройства.
- Обязательно иметь антивирус на Windows/Linux/MacOS компьютерах. Зайти в настройки Signal и активировать PIN, отключить возможность проверять, набирает ли кто-то, есть ключевые настройки приватности и безопасности учетной записи. Settings → Account → Registration Lock.