Согласно эксклюзивному отчету TechCrunch от 28 мая, группа хакеров выдает себя за официальную учетную запись службы поддержки “Signal Support” на платформе Signal, рассылая пользователям поддельные предупреждения о том, что их резервные копии чатов “находятся под угрозой необратимой потери из-за проблем с синхронизацией”. Злоумышленники пытаются выманить у жертв ключи восстановления, используемые для расшифровки облачных резервных копий. Аналитик The Washington Post Джош Рогин первым опубликовал скриншоты атаки в X, отметив, что такие сообщения получили несколько антикоммунистических активистов. Руководитель линии цифровой безопасности Access Now Мохаммед Аль-Маскати сообщил TechCrunch, что еще двое пользователей из других категорий также получили аналогичные сообщения, что указывает на возможный более широкий круг целей или наличие нескольких хакерских групп, использующих один и тот же метод. Атака нацелена на функцию “Secure Backups” (Безопасные резервные копии), запущенную Signal в прошлом году: она загружает зашифрованные данные учетной записи на серверы Signal, при этом ключ восстановления, необходимый для расшифровки, хранится локально на устройстве пользователя и недоступен серверам Signal. Однако, если ключ восстановления попадет в руки злоумышленников, они смогут расшифровать и прочитать историю переписки, фотографии и файлы жертвы.
В отличие от предыдущих атак на Signal, которые были нацелены на захват учетной записи (при которых взломанные аккаунты терялись из-за повторной регистрации), данная кража ключей резервного копирования представляет собой новый, более опасный вектор атаки. Signal четко заявляет, что официально “никогда не связывается с пользователями” и никогда не запрашивает регистрационные коды, PIN-коды или ключи восстановления. В прошлом месяце компания уже опубликовала предупреждение о подобных фишинговых атаках в Bluesky. Рекомендации по защите: включите Registration Lock, храните ключ восстановления офлайн в менеджере паролей или физическом блокноте и будьте предельно осторожны с любыми входящими сообщениями, представляющимися “Signal Support”.