Signal wdraża mechanizmy chroniące przed phishingiem. Czy są wystarczające do ochrony użytkownika?

O kampaniach phishingowych, wykorzystujących komunikatory internetowe pisaliśmy już nie raz. Cyberprzestępcy stosują najróżniejsze metody socjotechniczne, aby zmanipulować użytkownika i przejąć dostęp do jego konta. Skala ataków nasila się z dnia na dzień, a jednym z najczęściej wybieranych komunikatorów jest Signal. 

TLDR:

• W związku z coraz to większą liczbą ataków socjotechnicznych, Signal wdraża mechanizmy chroniące użytkownika przed phishingiem.
• Każdorazowa próba nawiązania kontaktu z osobą spoza kręgu znajomych spowoduje wyświetlenie alertu bezpieczeństwa.
• Użytkownik będzie musiał zaakceptować prośbę o nawiązanie kontaktu przed wyświetleniem treści wiadomości.
• Ponadto, rozbudowana została sekcja edukacyjna, informująca o najczęściej występujących przypadkach ataku.

Wybór ten nie jest przypadkowy. Jeżeli zależy nam na poufności przesyłanych treści, Signal jest bardzo dobrym rozwiązaniem. Jednak powszechne zapewnienia o bezpieczeństwie komunikatora nie powinny uśpić naszej czujności. 

Z technicznego punktu widzenia komunikator wykorzystuje mechanizm end-to-end-encryption, to znaczy tylko użytkownicy końcowi są w stanie uzyskać dostęp do treści wiadomości. Potencjalny atakujący (man-in-the-middle), który podsłuchiwał by ruch wymieniany między stronami, nie byłby w stanie odtworzyć choćby jednego słowa. Za całą magię odpowiadają tutaj silne mechanizmy kryptograficzne, a mówiąc precyzyjniej kryptografia asymetryczna (uzgadnianie klucza szyfrującego) oraz symetryczna (szyfrowanie ruchu przy użyciu ustalonego klucza i silnego algorytmu – AES).

Cyberprzestępcy zdali sobie sprawę, że “łamanie kryptografii” w tym przypadku nie przyniesie oczekiwanych efektów. Z tego powodu postanowili zrezygnować z ataków bezpośrednio na komunikator (protokół Signala) i skupić się bardziej na użytkowniku, czyli metodach socjotechnicznych. Spekuluje się, że powstanie w pełni funkcjonalnego komputera kwantowego, pozwoli “złamać klucze szyfrujące”, jednak na dzień dzisiejszy jest to pieśń przyszłości.

Analiza przeprowadzonych ataków pokazuje, że najczęstsze scenariusze ataku obejmują wiadomość od rzekomego wsparcia technicznego (Signal Support), zawierającą instrukcję zeskanowania kodu QR lub przekazania jednorazowego sekretu pod pretekstem ochrony konta. Często w wiadomościach pojawia się informacja o wykryciu ataku i w ramach ochrony należy przekazać na czacie kod dostępu lub kod PIN.

Przekazanie kodu PIN / kodu weryfikacyjnego skutkuje przypisaniem konta do nowego numeru telefonu (kontrolowanego przez atakującego). W ten sposób cyberprzestępca zyskuje dostęp do kontaktów użytkownika. Może się pod niego podszywać oraz prowadzić dalsze działania ukierunkowane na eksfiltrację danych. Należy podkreślić, że w tej metodzie użytkownik traci dostęp do swojego konta, a co za tym idzie dosyć szybko zorientuje się, że coś jest nie tak. 

Jeżeli zareagujemy w miarę szybko i spróbujemy się zalogować ponownie z wykorzystaniem naszego urządzenia oraz numeru telefonu, istnieje szansa, że atakujący nie zdążył zabezpieczyć w pełni konta i wiadomość z kodem dostępu przyjdzie na nasz numer telefonu. W takiej sytuacji wprowadzając otrzymany kod uzyskamy dostęp do naszego konta, a atakujący zostanie wylogowany. 

W tym miejscu warto zauważyć, że cyberprzestępcy często korzystają z automatycznych narzędzi (skryptów), a co za tym idzie możemy już być o krok za atakującym. Jeżeli konto zostało zabezpieczone nowym kodem PIN, to bez jego znajomości nie mamy możliwości odzyskania dostępu. Kontakt z działem technicznym może również okazać się bezskuteczny, ze względu na architekturę bezpieczeństwa aplikacji. W takim przypadku rozwiązaniem jest odczekanie umownego okresu (zazwyczaj 7 dni) po którym blokada wygasa i można ponownie przypisać numer telefonu do konta. 

Inną zaobserwowaną techniką jest nadużywanie kodów QR oraz funkcji powiązane urządzenia (linked devices). Atakujący wysyłają do użytkownika linki prowadzące do fałszywej strony, która pod pretekstem dołączenia do grupy wyświetla kod QR. Po zeskanowaniu, użytkownik nieświadomie autoryzuje urządzenie napastnika. 

Skutkuje to możliwością ciągłej eksfiltracji bieżących treści, podszywania się pod użytkownika oraz w określonych warunkach przeglądania historii czatów. Atak jest szczególnie niebezpieczny, ponieważ użytkownik nie traci dostępu do konta, a atakujący może pozostać w ukryciu przez dłuższy czas. Usunięcie urządzenia należącego do cyberzbója jest jedynym sposobem na przerwanie ataku.

Biorąc pod uwagę skalę ataków oraz ich wysoką skuteczność, Signal wdrożył mechanizmy ostrzegawcze, których zadaniem jest wsparcie użytkownika w zakresie identyfikacji złośliwej aktywności. 

Pierwszy z nich związany jest z weryfikacją nazwy i powiązań. Signal wyświetli komunikat Name not verified pod nazwami kontaktów, które wyślą do nas wiadomość. Dodatkowo, pojawi się informacja No groups in common, aby podkreślić brak wspólnych czatów grupowych z nadawcą wiadomości. Dzięki temu użytkownik otrzyma jasny sygnał, że osoba kontaktująca się z nim nie należy do jego najbliższego otoczenia (znajomych), co powinno zwiększyć czujność przy ewentualnych prośbach o udostępnienie prywatnych danych.

Modyfikacja prośby o kontakt. Podczas próby nawiązania kontaktu od osoby spoza kręgu znajomych użytkownika, Signal poprosi o potwierdzenie jej zaakceptowania. Jednocześnie wyświetli komunikat, że Signal (w domyśle Signal Support) nigdy nie prosi o podanie kodu rejestracyjnego, numeru PIN, klucza odzyskiwania. Każdą taką próbę należy traktować jako atak.

Rozbudowanie porad związanych z bezpieczeństwem. Signal wdrożył szczegółowy opis najczęściej występujących przypadków ataku, ostrzegając użytkownika, aby m.in. nie odpowiadał na wiadomości otrzymywane od wsparcia technicznego, zwracał uwagę na dane rozmówcy (czy został zweryfikowany, czy należy do kręgu znajomych, itp.), uważał na otrzymywane linki.

Wdrożenie powyższych rozwiązań świadczy o tym, że zagrożenie jest realne, a twórcy Signala odpowiedzialnie podchodzą do zagadnień bezpieczeństwa. Silne mechanizmy kryptograficzne nie są wystarczające do ochrony prywatności użytkowników, w przypadku gdy mamy do czynienia z socjotechniką i grupą APT. To właśnie użytkownik stanowi wektor ataku, a jego świadome bądź nieświadome działania mogą doprowadzić do odparcia ataku lub infekcji urządzenia.

Zalecamy zachować szczególną czujność podczas nawiązywania kontaktu z nieznajomymi osobami oraz nigdy nie udostępniać prywatnych danych. Po kliknięciu w link/zeskanowaniu kodu QR, każdorazowo zaleca się weryfikację listy powiązanych urządzeń, aby mieć pewność że nie znajduje się tam urządzenia, którego nie powinno być.

Źródło: x.com/signalapp

_secmike