Если вы используете Signal или WhatsApp для общения с коллегами, журналистами или представителями государственных структур, сейчас стоит задуматься о том, насколько ваша переписка защищена от целенаправленных атак.
За последние месяцы в Европе появились сообщения о масштабной кампании, в которой российские спецслужбы используют фишинг и социальную инженерию, а не вредоносное ПО, чтобы захватить аккаунты в двух самых популярных мессенджерах. Целями стали правительственные чиновники, военные и журналисты по всему миру.
Под капотом
Операция построена на том, что обе платформы позволяют регистрировать новые устройства, используя одноразовый код, получаемый по SMS, и в случае Signal – PIN‑код. Хакеры выдают себя за службу поддержки, отправляют сообщение о якобы подозрительной активности и просят пользователя переслать полученный код. Получив код и PIN, злоумышленники регистрируют свой телефон в качестве нового устройства, полностью берут под контроль аккаунт.
Для Signal важна особенность: история чатов хранится локально на устройстве. После перерегистрации пользователь может открыть прежние сообщения и не заметить, что его аккаунт был скомпрометирован. WhatsApp же использует функцию «Связанные устройства», позволяющую подключать ноутбуки и планшеты. При успешном захвате хакер получает доступ к полному архиву переписки, а пользователь часто не получает уведомления о новом подключении.
Кроме запросов кода, злоумышленники рассылают QR‑коды и ссылки, которые при сканировании добавляют их устройство в ваш аккаунт без вашего ведома.
| Платформа | Тип атаки | Последствия |
|---|---|---|
| Signal | Фишинг кода + PIN | Полный контроль, возможность чтения локальной истории |
| Фишинг кода + «Связанные устройства» | Доступ к полной переписке, отсутствие уведомления о подключении |
Практические советы
- Никогда не передавайте SMS‑коды или PIN‑коды, даже если запрос выглядит как сообщение от поддержки.
- Проверяйте список подключенных устройств в настройках приложения и удаляйте неизвестные.
- Отключайте функцию «Связанные устройства» в WhatsApp, если она не нужна.
- Не сканируйте QR‑коды и не переходите по ссылкам из незнакомых сообщений.
- Для Signal используйте отдельный номер телефона только для регистрации и храните PIN в безопасном месте.
С учётом того, что подобные методы уже применялись в конфликте на Украине, ожидается дальнейшее усложнение социальной инженерии: более правдоподобные имитации поддержки, автоматизированные рассылки и новые способы подмены QR‑кодов. Пользователям придётся повышать бдительность и полагаться на дополнительные уровни аутентификации, пока разработчики усиливают защиту своих сервисов.
