Мешканцям окупованого Мелітополя надходять повідомлення про те, що месенджер Signal нібито був зламаний і користуватися ним небезпечно.
Дедалі частіше з'являються повідомлення про те, що месенджер Signal нібито був зламаний і користуватися ним небезпечно. Одним зі способів злому є повідомлення зловмисників, які видають себе за службу безпеки месенджера.
За інформацією Держспецзв'язку, повідомлення про злам месенджера не відповідає дійсності.
Станом на серпень 2023 року нових відомих вразливостей, про які користувачам потрібно хвилюватися, зафіксовано не було. Пам'ятайте, служба безпеки Signal ніколи не спілкується з користувачами через такі повідомлення, а також не телефонує їм і не надсилає SMS.
Signal - один із найпопулярніших месенджерів серед українських військових. Держспецзв'язку відповідає на найпопулярніші запитання про його роботу та розповідає, як зробити користування застосунком максимально безпечним.
Як зловмисники можуть отримати доступ до акаунта в Signal?
Держспецзв'язку перераховує найпопулярніші методи, за допомогою яких зловмисники намагаються отримати доступ до чужих акаунтів у Signal: Знаючи ваш номер телефону, російські зловмисники можуть перехопити SMS із кодом доступу до застосунку на телефон російськими засобами РЕБ і підставними станціями мобільного зв'язку (які можливі навіть на безпілотниках). Такий ризик доволі високий у прикордонних районах і зоні бойових дій.
Найпопулярнішим способом є злам через комп'ютерну версію Signal - через надсилання документу Word/Excel або інших файлів в архіві через Signal, які виконаються, і зловмисники зможуть приховано слідкувати за екраном, робити скріншоти та перехоплювати натискання клавіш на клавіатурі.
Також російські хакери можуть викрасти сесію комп'ютерної версії Signal і приховано слідкувати за повідомленнями в обліковому записі і групах; і навіть експлуатуючи довіру між абонентами відправкою повідомлень легітимним абонентам (знову ж таки - для подальшого просування і захоплення інших комп'ютерів і акаунтів).
Часто зловмисники прикидаються службою безпеки Signal, щоб виманити чутливі дані. Під час цілеспрямованих атак проти конкретних керівників та офіцерів - зловмисники проводять деталізований збір інформації та мають достатньо контактів знайомих і друзів, прикидаючись якими, просять вчинити певні дії. У Держспецзв'язку наголошують, що передзвонити навіть незахищеним зв'язком, але для валідації абонента, - краще, ніж приймати й одразу довіряти повідомленням. Також не можна довіряти файлам в архівах і треба обов'язково використовувати антивірус на комп'ютері.
Крім того, з особливим побоюванням треба ставитися до повідомлень від неперевіреного адресанта зі словами "негайно", "терміново", "важливо". Зафіксовано випадки, коли російські хакери з ФСБ і ГРУ змогли вклинитися через викрадені мобільні пристрої (наприклад, полонених військовослужбовців) і скомпрометовані Windows-комп'ютери та отримали доступ до чатів/груп, де передавалися важливі звіти. Учасники групи не знали про компрометацію одного з учасників. У Держспецзв'язку наголошують на важливості уважної перевірки та верифікації з розробниками цілісності (checksum) спеціалізованих застосунків для Android, що розповсюджуються через групи в Signal та встановлюються на мобільні пристрої.
Як захистити свій Signal від злому?
- Не додавати невідомих і неперевірених контактів. Уважно верифікувати, хто перебуває в групі. Ідентифікація та авторизація новачків. Чим менше адмінів - тим краще.
- Не довіряти великим групам у Signal. Налаштувати видалення повідомлень за годину або один день, залежно від ваших потреб. Але точно краще, щоб повідомлення автоматично видалялися. Зареєструвати Signal на номер, який з вами не пов'язаний (скористатися сервісами). Таким чином російські військові хакери, навіть отримавши інформацію про списки (наприклад, керівників артилерійських бригад), не зможуть таргетовано працювати проти вас, вас треба буде ще знайти. Перевіряти підключені пристрої.
- Обов'язково мати антивірус на Windows/Linux/MacOS комп'ютерах.
- Зайти в налаштування Signal і активувати PIN, відключити можливість перевіряти, чи набирає хтось, є ключові налаштування приватності та безпеки облікового запису. Settings → Account → Registration Lock.