Експертна команда Держспецзв'язку повідомила, що до них почастішали звернення, зокрема військових, із запитаннями: «Ми чули, що зламали Signal. Що робити?». В матеріалі нижче надаються відповіді на найчастіші запитання щодо популярного захищеного месенджеру Signal та як зробити своє користування цим месенджером максимально безпечним.
Отже, чи були випадки зламу Signal? Станом на літо 2023 року – ні. Але був інцидент влітку 2022 року, про який повідомила сама компанія. У заяві Signal зазначалось, що вдалося зламати 1900 акаунтів, а це дуже небагато. На акаунти працівників компанії Twilio, що надає послуги SMS-перевірки для Signal, здійснили фішингову атаку, під час якої хакерам вдалося дістати доступ до конфіденційної інформації.
«Приблизно для 1900 користувачів зловмисник міг спробувати перереєструвати номер на інший пристрій або дізнатися, що їхній номер зареєстрований на Signal», – як повідомила компанія.
Станом на серпень 2023 року нових відомих вразливостей, про які користувачам потрібно хвилюватися, зафіксовано не було. За станом безпеки месенджера та його вразливостями варто слідкувати на сторінках:
https://support.signal.org/hc/en-us/sections/360001614191-Security-FAQ
https://www.cvedetails.com/vulnerability-list/vendor_id-17912/Signal.html
Чи потрібно щось робити просто зараз? Рекомендовано додатково перевірити налаштування безпеки та оновити додаток до останньої версії. Важливо перевірити членство в групах нових та невідомих вам контактів і видалитися з непотрібних-неактивних груп. Ризик у тому, що хтось із учасників тих груп був зламаний зловмисниками, які спробують привернути увагу учасників групи файлами, що привертатимуть увагу – «Терміново. Особовому складу» тощо. Звісно, вірогідність того, що під маскою важливого файлу ховатиметься шкідлива програма, є доволі високою.
Тому будьте уважні, коли отримуєте від неперевіреного адресанта повідомлення на кшталт «негайно», «терміново», «важливо». Терміновість часто використовується зловмисником для злому через довіру та гарячковість.
Також виникало питання, чи є більш безпечні альтернативи для ЗСУ? Але говорячи про месенджери, важливо розуміти, що тут немає так званої «срібної кулі», яка буде абсолютно безпечною і її неможливо буде зламати. Альтернативою Signal, який часто використовують українські військові та який можна вважати умовно безпечним, можна розглянути месенджер Threema. Він має більше засобів взаємного контролю та перевірки, проте його встановлення є платним.
Умовно безпечним також є месенджер WhatsApp. Традиційно багато хто вважає його гіршим з точки зору безпеки за Signal, проте зламати його складніше. Але експерти не радять використовувати для пересилання чутливих даних месенджери Telegram та Viber. Російські хакери, наприклад, використовують функціонал Telegram для того, щоб виявляти концентрації мобільних пристроїв наших військовослужбовців та завдавати удару. Загалом рекомендується використовувати засоби, авторизовані в ЗСУ та доведені до використання особовим складом та керівниками безпеки.
Як протидіяти зламу Signal
Знаючи ваш номер телефону, російські зловмисники можуть перехопити SMS із кодом доступу до застосунку на телефон російськими засобами РЕБ та підставними станціями мобільного зв'язку (які можливі навіть на безпілотниках). Такий ризик доволі високий у прикордонних районах та зоні бойових дій.
Найпопулярнішим способом є злом через комп'ютерну версію Signal – через надсилання документу Word / Excel або інших файлів у архіві через Signal, які виконаються, і зловмисники зможуть приховано стежити за екраном, робити скриншоти та перехоплювати натискання клавіш на клавіатурі. Також російські хакери можуть викрасти сесію комп'ютерної версії Signal та приховано стежити за повідомленнями в обліковому записі та групах; та навіть експлуатуючи довіру між абонентами надсиланням повідомлень легітимним абонентам (знову ж – для подальшого просування та захоплення інших комп'ютерів та акаунтів).
Наразі спостерігаються активні спроби проникнення шляхом соціальної інженерії, особливо в Signal-версії для комп'ютера. Також зловмисники часто прикидаються службою безпеки Signal. Пам'ятайте, служба безпеки Signal ніколи не контактує своїх клієнтів через такі повідомлення, а також не здійснює дзвінків та розсилань SMS.
Неабияк важливо не приймати і не довіряти незнайомим контактам, їх потрібно відразу блокувати. При цілеспрямованих атаках проти конкретних керівників та офіцерів – зловмисники проводять деталізований збір інформації та мають достатньо контактів знайомих і друзів, прикидаючись якими, просять вчинити певні дії.
Також дотримуйтеся наступних порад:
-
Передзвонити навіть по незахищеному зв'язку, але для валідації абонента – краще, ніж приймати і довіряти підозрілим повідомленням.
-
Не довіряйте файлам в архівах. Обов'язково використовуйте антивірус на комп'ютері.
-
Не додавайте невідомих та неперевірених контактів.
-
Уважно верифікуйте, хто з вами в групі. Ідентифікація і авторизація новачків. Що менше адмінів – то краще.
-
Налаштувати видалення повідомлень за годину або один день, залежно від ваших потреб. Але точно краще, щоб повідомлення автоматично видалялися.
-
Зареєструвати Signal на номер, який з вами не пов'язаний (скористатися сервісами).
-
Перевіряти підключені пристрої.
-
Обов'язково мати антивірус на Windows / Linux / MacOS комп'ютерах.
Ще варто зайти в налаштування Signal та активувати PIN, відключити можливість перевіряти, чи хтось набирає, є ключові налаштування приватності та безпеки облікового запису. Settings → Account → Registration Lock.
