Giriş
FBI ve CISA, Rus istihbaratının Signal hesapları üzerindeki phishing saldırılarına ilişkin Mart ayında yayımladıkları uyarıyı güncelledi. Uyarıya göre, saldırganlar hedeflerin Signal Yedekleme Kurtarma Anahtarlarını teslim etmesini sağlamaya yönelik yeni bir yöntem geliştirdi.
Saldırı Nasıl Çalışıyor?
Saldırganlar, kullanıcılardan Yedekleme Kurtarma Anahtarlarını aldıklarında, hesap geri yüklemelerini yapabilir, özel ve grup mesaj geçmişine erişebilir ve hesabı kontrol altına alabilir. Uyarıda belirtildiği üzere, anahtar bir kez verildiğinde geçerliliğini korur; kullanıcı aynı telefon numarasıyla yeni bir hesap açtığında, eski anahtar yine kullanılabilir.
Etkilenen Sistemler
Güncellenmiş PSA I-062626-PSA uyarısı, Mart ayında eksik olan iki kamusal izleme grubunu tanıtmaktadır: UNC5792 ve UNC4221. FBI, bu etkinliği çeşitli Rus İstihbarat Servisleri (RIS) gruplarıyla ilişkilendiriyor. Saldırılar, özellikle Signal ve WhatsApp hesaplarını hedef alıyor ve güncellenmiş kurtarma anahtarı taktiği yalnızca Signal için geçerli.
Phishing Mesajı ve Sosyal Mühendislik
Phishing mesajları, kullanıcılara Signal destek mesajı olarak görünmektedir. Önceki dalgalar SMS doğrulama kodları ve hesap PIN’leri istemekteydi; güncellemeyle birlikte, hedefleri Yedekleme Anahtarını aktif hale getirmeye yönlendiren yeni bir yol haritası sunuluyor.
Çözüm ve Korunma
- Signal destek uygulamasından gelen herhangi bir mesaja dikkat edin; gerçek destek ekipleri, kullanıcıdan kod, PIN veya Yedekleme Anahtarı talep etmez.
- Yedekleme Kurtarma Anahtarınızı, doğrulama kodunuzu veya PIN’inizi sohbet içinde asla paylaşmayın. Hiçbir meşru uygulama bu bilgileri bu şekilde istemez.
- Ayarlar menüsünden Bağlı Cihazlar sekmesine giderek tanımadığınız cihazları kaldırın.
- Eğer Yedekleme Anahtarınızı teslim ettiyseniz, hemen Ayarlar’dan yeni bir anahtar oluşturun ve daha önce yapılan yedeklerin başka birinin elinde olduğunu varsayın.
Sonuç
Mart ayında verilen uyarıların ardından, taktiklerin değişeceği öngörülmüştü. Şu anda, bir seferlik kodların peşinden koşulmaktan, bütün arşivi açan anahtarın alınmasına geçilmiştir. Şifreleme korunuyor; ancak hesap, saldırganların hedefi olan zayıf noktadır.
