Americké úřady vypsaly odměnu 10 milionů dolarů za informace vedoucí k hackerům, kteří útočí na uživatele Signalu a WhatsAppu. Podle FBI se snaží krást účty přes falešné zprávy a zneužít ověřovací kódy.
Americké úřady nabídly 10 milionů dolarů za informace, které pomohou dohledat členy dvou ruských hackerských skupin napojených na státní struktury. Právě ty mají stát za kampaní, která míří na uživatele Signalu a WhatsAppu a zkouší z nich vylákat přístup k účtům i starším konverzacím.
Jak útoky na Signal a WhatsApp fungují
Podstata útoku je až nepříjemně jednoduchá. Oběti dostanou zprávu, která se tváří jako upozornění od podpory nebo automatická kontrola účtu. Útočník pak chce, aby člověk klikl na odkaz, zadal ověřovací kód nebo předal přístupový passcode. Jakmile to udělá, může útočník propojit vlastní zařízení s účtem nebo se do něj rovnou dostat.
U Signalu je situace ještě citlivější v tom, že útočníci se podle vyšetřovatelů snaží obejít ochrany proti čtení starších konverzací na nově připojeném zařízení. Oběť přimějí vytvořit zálohu a poslat jim obnovovací klíč. Tím se z běžného phishingu stává útok, který už neohrožuje jen přihlášení, ale i historii komunikace.
FBI spojuje kampaň se dvěma sledovanými skupinami, které označuje jako UNC5792 a UNC4221. Americké úřady tvrdí, že jedna z nich je napojená na pohraniční složky ruské FSB, druhá pracuje pro ruskou vojenskou rozvědku. V praxi to znamená, že nejde o náhodné kyberzločince, ale o dobře organizovanou operaci se státním zázemím.
Co to znamená pro běžné uživatele
Na první pohled může podobná zpráva vypadat jako problém pro politiky, diplomaty nebo novináře. Jenže právě tyto útoky mají dopad i na běžné uživatele, protože útočníci často napodobují stejný styl zpráv a spoléhají na to, že člověk zareaguje ve spěchu. Jakmile jednou předáte kód nebo obnovovací údaj, je často pozdě couvnout.
Pro uživatele iPhonu je důležité hlavně to, že bezpečné aplikace samy o sobě nestačí. Signal i WhatsApp sice používají šifrování, ale to neochrání proti podvodu, kdy si přístup předáte sami. Proto je zásadní nikdy nesdílet ověřovací kódy, neklikat na podezřelé odkazy a ověřovat si i zprávy, které vypadají jako podpora služby.
Vypsaná odměna navíc ukazuje, že americké úřady berou podobné kampaně jako vážnou bezpečnostní hrozbu. Pro uživatele to je připomínka, že největším slabým místem často nebývá samotná aplikace, ale lidská důvěra. Kdo používá Signal nebo WhatsApp k citlivější komunikaci, měl by mít nastavené silné zabezpečení účtu a počítat s tím, že falešná výzva k ověření může přijít kdykoli.
Pokud vás téma zajímá víc, přečtěte si také WhatsApp spouští rezervace uživatelských jmen před zavedením nového způsobu komunikace a WhatsApp beta testuje Liquid Glass na iPadu.
Podrobnosti přinesl také 9to5mac.

Chcete k tomu něco dodat? Napište krátce proč.