- WIADOMOŚCI
Wgląd w wiadomości niemieckich wojskowych i polityków. Nie trzeba hakować telefonów
Osoby na wysokich stanowiskach w Niemczech, w tym wojskowi i politycy, coraz częściej stają się celem ataków phishingowych, za którymi stoją grupy powiązane z podmiotem państwowym. Co ciekawe, sprawcy nie wykorzystują złośliwego oprogramowania. Stosują inne metody.
Autor. CyberDefence24/Canva
6 lutego br. Federalny Urząd Ochrony Konstytucji (BfV) oraz Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych (BSI) opublikowały raport wskazujący na rozszerzający się proceder ataków phishingowych, wymierzonych w osoby zajmujące wysokie stanowiska w niemieckim środowisku komunikacyjnym.
Choć dokument nie przypisuje odpowiedzialności konkretnej grupie, na podstawie informacji wywiadowczych, wskazuje, że działania są koordynowane przez cyberprzestępców działających pod kontrolą podmiotu państwowego.
Celem politycy, wojskowi i nie tylko
Cechą charakterystyczną kampanii jest socjotechnika. Sprawcy nie wykorzystują złośliwego oprogramowania ani podatności technicznych do uzyskania dostępu do systemów lub kont użytkowników.
Zamiast tego manipulują mechanizmami weryfikacji stosowanymi w komunikatorach, aby niepostrzeżenie uzyskać dostęp do rozmów i list kontaktów. Celem ataków są m.in. niemieccy politycy, przedstawiciele wojska i dyplomacji oraz dziennikarze śledczy również z Europy.
W opisywanej kampanii wykorzystywany jest przede wszystkim komunikator Signal, jednak ze względu na podobne mechanizmy zabezpieczeń wymienione Urzędy mają również pod lupą WhatsAppa.
Atak może być przeprowadzony na dwa sposoby.
Sposób 1: fałszywy chatbot
Atakujący podszywają się pod oficjalnego chatbota komunikatora (np. Signal Security ChatBot) lub zespół wsparcia technicznego (Signal Support) i kontaktują się z ofiarą bezpośrednio na czacie.
Rozmowa zwykle rozpoczyna się od rzekomego ostrzeżenia o włamaniu na konto lub wycieku danych. Tego typu wiadomości celowo budują poczucie pilności, sugerując, że brak natychmiastowej reakcji doprowadzi do utraty tego co „ukradzione”. Pod pretekstem zabezpieczenia konta przestępcy nakłaniają ofiarę do przekazania kodu weryfikacyjnego.
Autor. Federalny Urząd Ochrony Konstytucji i Federalny Urząd ds. Bezpieczeństwa Technologii Informacyjnych
W rzeczywistości presja wynika z faktu, że atakujący w tym samym czasie próbują zarejestrować konto ofiary na swoim urządzeniu, co powoduje wysłanie jednorazowego kodu weryfikacyjnego na telefon właściciela konta. Kod ten stanowi potwierdzenie własności konta, a jego ujawnienie umożliwia przestępcy zalogowanie się i przejęcie dostępu.
W konsekwencji atakujący mogą uzyskać stały dostęp do listy kontaktów oraz nowych wiadomości w czatach indywidualnych i grupowych, a także wysyłać wiadomości w imieniu ofiary. Nie uzyskują jednak dostępu do treści rozmów sprzed przejęcia konta.
Sposób 2: zeskanuj kod
W tym scenariuszu atakujący wykorzystuje, dostępną w komunikatorach, takich jak Signal i WhatsApp, funkcję parowania dodatkowego urządzenia, która standardowo służy do łączenia konta z kolejnym sprzętem.
Przestępca generuje kod QR na swoim urządzeniu, a następnie , podszywając się pod pomoc techniczną lub inną wiarygodną instytucję, nakłania ofiarę do jego zeskanowania, udzielając autoryzacji. Konto zostaje połączone z urządzeniem kontrolowanym przez atakującego.
W efekcie uzyskuje on dostęp do indywidualnych i grupowych rozmów oraz możliwość podglądu części historii wiadomości synchronizowanej z kontem.
Dodatkowym zagrożeniem jest fakt, że ofiara często nie zdaje sobie sprawy z nieautoryzowanego dostępu do swojego konta, co pozwala atakującemu działać bez wykrycia przez dłuższy czas.
Znaczenie operacyjne kampanii
Urzędy, które opublikowały raport, podkreślają szczególne znaczenie tej kampanii ze względu na wrażliwość prywatnej komunikacji, zwłaszcza w przypadku osób zajmujących wysokie stanowiska.
Uzyskanie przez atakujących dostępu do czatów grupowych oraz list kontaktów powoduje, że zagrożone stają się całe sieci powiązań. Pozwala to przestępcom odtworzyć struktury kontaktowe i wykorzystać je do dalszych działań wywiadowczych lub przestępczych.
Jednoznaczne przypisanie ataków konkretnej grupie pozostaje niemożliwe, ponieważ stosowane metody są relatywnie proste i mogą być wykorzystywane zarówno przez podmioty państwowe, jak i te niepaństwowe. Jednak analiza doboru celów wskazuje, na zaangażowanie aktora działającego pod kontrolą państwa, gdyż pozyskiwanie danych od osób o takim profilu wykracza poza typowe motywacje cyberprzestępczości nastawionej wyłącznie na zysk.
Jak się chronić?
Ważne jest upowszechnianie wiedzy o mechanizmach wykorzystywanych przez sprawców, bo tylko w ten sposób możemy skutecznie zapobiegać atakom. W związku z tym raport zawiera zestaw zaleceń bezpieczeństwa dla użytkowników komunikatora Signal:
- pamiętaj, że oficjalna obsługa Signal nie kontaktuje się z użytkownikami przez prywatne wiadomości w aplikacji;
- nigdy nie podawaj swojego kodu PIN Signal w wiadomości tekstowej; prawdziwe prośby o PIN nie pokazują kodu w zwykłym tekście (maskują go kropkami lub gwiazdkami);
- blokuj i zgłaszaj konta podszywające się pod wsparcie techniczne Signal;
- włącz blokadę rejestracji w aplikacji;
- skanuj kody QR w Signal tylko wtedy, gdy sam inicjujesz połączenie urządzenia z kontem;
- ignoruj zaproszenia do grup, których się nie spodziewasz lub które pochodzą od nieznanych osób;
- regularnie sprawdzaj listę połączonych urządzeń, a jeśli zauważysz nieznane urządzenie natychmiast je usuń.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?