У травні 2026 року користувачі месенджера Signal опинилися під прицілом нової хвилі фішингових атак: зловмисники прагнуть отримати доступ до резервних копій чатів і персональних даних. Атака полягає в тому, що хакери маскуються під службу підтримки Signal та надсилають повідомлення з попередженням про нібито проблеми із синхронізацією та загрозу втрати всіх збережених даних, закликаючи жертву поділитися ключем відновлення резервної копії.
Про це розповідає ProIT
Фішингові методи та масштаби кампанії
Відомий аналітик Washington Post Джош Рогін опублікував скриншот такого повідомлення, в якому нібито від імені команди підтримки Signal користувачам пишуть, що їхній архів резервних копій може бути втрачено, якщо вони не поділяться спеціальним ключем. У тексті фішингового повідомлення зазначено:
“This links your existing backup to your account. Failure to do this may result in losing access to your account and all stored data”.
Рогін підкреслив, що не лише користувачі, які є активістами, що виступають проти Комуністичної партії Китаю, потрапили під атаку, але й інші групи осіб. За словами Мохаммеда Аль-Маскаті, директора служби цифрової безпеки Access Now, йому надходили подібні звернення і від людей, які не мають відношення до китайської опозиції. Це свідчить про розширення масштабів кампанії та ймовірну участь кількох груп зловмисників із різними цілями.
Механізм атаки та рекомендації щодо захисту
Фішингові повідомлення розраховані на довіру користувачів до офіційної підтримки Signal. Хакери запитують у жертви ключ відновлення, який необхідний для доступу до резервних копій у хмарі. Навіть якщо ключ потрапив до зловмисників, їм потрібно ще захопити сам акаунт – ключ лише відкриває доступ до старих листувань, фото й документів, але не гарантує повного контролю над профілем.
Фахівці наголошують: Signal ніколи не звертається до користувачів першою, не просить надати реєстраційний код, PIN чи ключ від резервної копії. Будь-який чат, що імітує «Signal Support», є шахрайським, а подібні атаки вже публічно згадувалися організацією раніше.
Останнім часом хакери використовували різні тактики: раніше вони намагалися захопити акаунти користувачів для подальшого їх використання, але такі атаки не дозволяли отримати доступ до старих повідомлень. Саме нова хвиля фішингу націлена на резервні копії, які можуть містити архівні чати, фотографії та документи.
Захист від захоплення акаунта забезпечує функція Registration Lock – вона блокує спроби прив’язати номер до нового пристрою без PIN-коду. Однак для доступу до резервної копії потрібен унікальний ключ, який зберігається лише на пристрої користувача. Signal радить записати цей ключ у блокнот або зберегти у менеджері паролів.
Signal наголошує: без особистого ключа відновлення жодна особа, включаючи саму компанію, не може розшифрувати чи відновити дані з резервної копії. Лише власник акаунта може розшифрувати архів на новому пристрої, завантаживши його із серверів Signal і використавши ключ.