Rosjanie przejmują konta. Jeden kod i po wszystkim
Atak nie uderza w całe aplikacje, lecz w konkretne konta. Hakerzy wyłudzają kody i wykorzystują funkcję połączonych urządzeń.
Rosyjskie grupy powiązane z państwem prowadzą szeroką kampanię wymierzoną w użytkowników Signala i WhatsAppa. Na celowniku znaleźli się przede wszystkim urzędnicy, wojskowi i pracownicy administracji, ale ryzyko może dotyczyć także dziennikarzy oraz innych osób mających dostęp do wrażliwych informacji.
Hakerzy nie próbują wygrać z technologią, tylko z człowiekiem. Zamiast szukać technicznej luki w samym komunikatorze, podają się za zaufane osoby lub oficjalne wsparcie i nakłaniają ofiarę do wykonania kilku prostych czynności. W praktyce to klasyczna socjotechnika, czyli manipulowanie użytkownikiem w taki sposób, by sam oddał napastnikowi dostęp do konta.
To właśnie dlatego cała operacja jest tak niebezpieczna. Komunikatory z szyfrowaniem end-to-end, czyli takim mechanizmem, w którym treść wiadomości ma być czytelna tylko dla nadawcy i odbiorcy, uchodzą za bezpieczne kanały rozmów. Problem w tym, że nawet najlepsze zabezpieczenia niewiele pomogą, jeśli przestępca przejmie konto legalnego użytkownika.
Hakerzy nie chcą hasła, lecz kodu i chwili nieuwagi
Najczęściej wykorzystywanym scenariuszem jest phishing, czyli oszustwo oparte na podawaniu się za wiarygodny podmiot. Ofiara dostaje wiadomość wyglądającą na kontakt od pomocy technicznej albo od zaufanej osoby. Treść sugeruje, że trzeba coś potwierdzić, odzyskać dostęp, zabezpieczyć konto albo dokończyć ważną procedurę.
W rzeczywistości celem jest wyłudzenie kodu weryfikacyjnego SMS albo kodu PIN. Dla użytkownika to może wyglądać jak błaha formalność. Dla atakującego taki kod jest jednak kluczem do przejęcia konta. Gdy ofiara poda go w odpowiedzi albo wpisze w spreparowanym formularzu, napastnik może zarejestrować konto na własnym urządzeniu lub dokończyć proces przejęcia.
To szczególnie groźne w środowiskach, w których przez komunikatory przesyłane są ustalenia służbowe, informacje organizacyjne, plany działań czy wiadomości z zamkniętych grup. Nawet jeśli sama treść rozmów nie ma formalnie statusu informacji niejawnych, może zawierać dane wystarczająco cenne, by stać się celem obcych służb.
Druga metoda jest jeszcze sprytniejsza
Drugim wykorzystywanym mechanizmem jest funkcja połączonych urządzeń. Zarówno Signal, jak i WhatsApp pozwalają sparować konto z innym sprzętem, np. komputerem lub dodatkowym telefonem. To wygodne rozwiązanie, bo umożliwia korzystanie z czatów na kilku urządzeniach jednocześnie. W rękach napastników ta wygoda zamienia się jednak w narzędzie szpiegowskie.
Atak polega na tym, że ofiara dostaje kod QR, który ma wyglądać na niewinny element codziennej komunikacji. Może być przedstawiony jako zaproszenie do grupy, dostęp do bezpiecznego kanału albo część procedury logowania. Po jego zeskanowaniu użytkownik nieświadomie łączy swoje konto z urządzeniem kontrolowanym przez hakerów.
Wtedy atakujący nie musi już zgadywać, co dzieje się w rozmowach. Zyskuje możliwość podglądu przychodzących wiadomości, także tych pojawiających się na grupach. Oznacza to cichy dostęp do bieżącej komunikacji ofiary bez potrzeby fizycznego zabierania telefonu czy instalowania widowiskowego złośliwego oprogramowania.
Stawką są poufne informacje
Z ustaleń służb wynika, że ofiarami kampanii są już pracownicy administracji publicznej. To ważny sygnał, bo pokazuje, że nie mamy do czynienia z chaotycznym spamem rozsyłanym na oślep, lecz z przemyślaną operacją ukierunkowaną na osoby mające dostęp do informacji wartościowych z perspektywy rosyjskiego wywiadu.
Na tym lista potencjalnych celów się nie kończy. Zagrożeni mogą być także dziennikarze, analitycy, eksperci, współpracownicy instytucji publicznych, a także osoby funkcjonujące na styku państwa, mediów i sektora bezpieczeństwa. Wystarczy, że ktoś regularnie rozmawia z ludźmi pełniącymi istotne funkcje, należy do odpowiednich grup albo ma w telefonie kontakty i ustalenia, które można wykorzystać operacyjnie.
To również tłumaczy, dlaczego tak duże zainteresowanie budzi właśnie Signal. Aplikacja od lat cieszy się opinią jednego z najbardziej zaufanych komunikatorów. Dla użytkowników to atut. Dla atakującego to znak, że właśnie tam mogą trafiać rozmowy prowadzone ostrożniej niż w mniej bezpiecznych kanałach.
Szyfrowanie nie wystarczy, gdy konto wpadnie w obce ręce
W całej sprawie łatwo wpaść w dwie skrajności. Pierwsza to panika i przekonanie, że komunikatory zostały skompromitowane jako usługi. Druga to fałszywe poczucie bezpieczeństwa wynikające z samego faktu, że rozmowa jest szyfrowana.
Prawda leży natomiast pośrodku. Sam mechanizm szyfrowania nie musi być złamany, by wiadomości przestały być bezpieczne. Jeśli napastnik przejmie konkretne konto albo połączy z nim własne urządzenie, zaczyna widzieć treści tak, jak widzi je użytkownik. Z punktu widzenia ofiary efekt jest niemal ten sam: ktoś obcy czyta prywatną lub służbową korespondencję.
Właśnie dlatego komunikatory, nawet te uchodzące za najbezpieczniejsze, nie powinny być traktowane jako uniwersalne miejsce do przekazywania każdej wrażliwej informacji. Im wyższa stawka rozmowy, tym większe znaczenie ma nie tylko wybór aplikacji, lecz także dyscyplina użytkownika i kontrola nad tym, jakie urządzenia są powiązane z kontem.
Najsłabsze ogniwo siedzi właśnie przed ekranem
Ta kampania jest dobrym przypomnieniem, jak wygląda współczesny cyberatak prowadzony przez państwo. Nie zawsze zaczyna się od spektakularnego włamania do systemu. Często wystarczy przekonująca wiadomość, odpowiedni moment i ofiara, która uzna, że ma do czynienia z rutynową prośbą.
Właśnie dlatego sprawa wykracza poza grono urzędników. Mechanizmy użyte w tej operacji są proste, skalowalne i dają się stosować w różnych krajach. To oznacza, że każdy użytkownik komunikatora powinien zachować ostrożność wobec próśb o podanie kodu SMS, PIN-u albo zeskanowanie kodu QR przesłanego przez kogoś, kogo nie da się jednoznacznie zweryfikować.
Przeczytaj także:
Najrozsądniejsze podejście jest dość proste. Wystarczy nie przekazywać nikomu kodów weryfikacyjnych, nie ufać wiadomościom podającym się za pomoc techniczną i regularnie sprawdzać, jakie urządzenia są połączone z kontem. W tym przypadku to właśnie kilka podstawowych odruchów może zdecydować o tym, czy rozmowy wciąż pozostaną prywatne.
