Teknik

Amnestyforskare utsätts för nätfiske mot Signal-konton

Falsk supportrobot försöker lura till sig verifieringskod och koppla kontot till angriparens enhet, krypteringen står kvar men bekvämlighetsfunktioner gör användaren till svagaste länken

Bilder

A screenshot of the phishing attack that targeted donncha Ó Cearbhaill, a security researcher at Amnesty International. (Image: DONNCHA Ó Cearbhail)Image Credits:Donncha Ó Cearbhaill A screenshot of the phishing attack that targeted donncha Ó Cearbhaill, a security researcher at Amnesty International. (Image: DONNCHA Ó Cearbhail)Image Credits:Donncha Ó Cearbhaill Image Credits:Donncha Ó Cearbhaill
Lorenzo Franceschi-Bicchierai Lorenzo Franceschi-Bicchierai techcrunch.com

En säkerhetsforskare vid Amnesty International uppger att han i år utsattes för ett försök att kapa hans Signal-konto genom att angriparen utgav sig för att vara appens stöd- och supportfunktion, rapporterar TechCrunch. Donncha Ó Cearbhaill, som leder Amnestys säkerhetslaboratorium, fick ett nätfiskemeddelande från ett konto som kallade sig ”Signals säkerhetsstöd – chattrobot”. Meddelandet varnade för misstänkt aktivitet och försökte lura honom att lämna ut en verifieringskod. En sådan kod kan användas för att koppla kontot till en enhet som angriparen kontrollerar.

Ó Cearbhaill säger att han omedelbart kände igen upplägget som ett övertagningsförsök och såg det som en del av en större operation riktad mot många Signal-användare. Han uppskattar att han var en av fler än 13 500 identifierade måltavlor i kampanjen, och tror att det verkliga antalet är högre. TechCrunch skriver att tillvägagångssättet liknar metoder som tidigare uppmärksammats av USA:s myndighet för cybersäkerhet och infrastruktur, Storbritanniens cybersäkerhetsmyndighet och nederländsk underrättelsetjänst. Dessa aktörer har kopplat liknande aktivitet till ryska statliga spioner.

Angreppet visar varför ”säker meddelandehantering” ofta fallerar i kanterna snarare än i kärnan. Signals kryptering kan vara intakt, men angriparen behöver inte knäcka den om han i stället kan få användaren att godkänna en ny enhet. Det som marknadsförs som bekväm kontohantering och stöd för flera enheter blir då den svaga länken. Ó Cearbhaill beskriver en ”snöbollshypotes”: när någon i en gruppchatt komprometteras kan angriparen använda kontaktnätet för att hitta nästa våg av måltavlor. Kampanjen växer då genom sociala nätverk, inte genom tidskrävande specialanpassad spaning mot varje individ.

Ó Cearbhaill pekar också ut vad han kallar ”ApocalypseZ”, ett system som automatiserar massangrepp med begränsad mänsklig övervakning. Han säger att kodbasen och operatörsgränssnittet är på ryska, och att offrens chattar översatts till ryska – omständigheter han menar stämmer med rysk statlig inblandning. TechCrunch noterar att Der Spiegel separat rapporterat att ryska hackare komprometterat flera personer i Tyskland, däribland framträdande politiker.

Signal har gått ut med varningar om nätfiske riktat mot användare, men kampanjen som Ó Cearbhaill följer ska fortfarande vara aktiv. Angreppet mot honom bestod av ett enda meddelande; hävstången var den enda punkt som kryptering inte kan skydda: att en användare övertalas att trycka ”godkänn” på fel skärm vid fel tillfälle.