«Срочно», «немедленно», «важно». Как защитить мессенджер Signal и не попасть на крючок злоумышленников
Минувшим летом мессенджер Signal был сломан, об этом сообщила сама компания. Тогда на аккаунты сотрудников компании Twilio, предоставляющей услуги SMS-проверки для Signal, совершили фишинговую атаку, в ходе которой хакерам удалось получить доступ к конфиденциальной информации. Пострадали 1900 аккаунтов. По состоянию на август 2023 г. новых известных уязвимостей, о которых пользователям нужно волноваться, зафиксировано не было. Чтобы избежать опасных инцидентов, рассказываем, как сделать свое использование Signal максимально защищенным.
— Проверьте настройки безопасности и обновите дополнение к последней версии.
— Проверьте членство в группах новых и неизвестных контактов и удалитесь из ненужных неактивных групп. Существует риск в том, что кто-то из участников групп был сломан злоумышленниками.
— Будьте внимательны, когда получаете от непроверенного адресанта сообщения типа «немедленно», «срочно», «важно». Срочность часто используется злоумышленником для взлома из-за доверия и лихорадки. Часто под маской важного файла будет скрываться вредоносная программа, достаточно высока.
Следующие советы будут особенно полезны для военных.
— Не добавляйте неизвестные и непроверенные контакты. Внимательно верифицировать, кто с тобой в группе. Идентификация и авторизация новичков. Чем меньше админов — тем лучше.
— Не доверяйте большим группам в Signal.
— Настройте удаление сообщений за час или один день в зависимости от ваших потребностей. Но точно лучше, чтобы сообщения автоматически удалялись.
— Зарегистрировать Signal на номер, который с вами не связан (пользоваться сервисами). Таким образом, российские военные хакеры, даже получив информацию о списках (например, руководителях артиллерийских бригад), не смогут таргетированно работать против вас, вас предстоит еще найти.
— Проверяйте подключенные устройства.
— Обязательно иметь антивирус на Windows/Linux/MacOS компьютерах.
— Зайти в настройку Signal и активировать PIN, отключить возможность проверять, набирает ли кто-то, есть ключевые настройки приватности и безопасности учетной записи. Settings → Account → Registration Lock.
2. Дополнительные настройки безопасности и конфиденциальности
Установите обязательное автоматическое удаление месседжей за определенное время, а также рекомендуем удалить старые сообщения, чтобы информация в случае физической потери устройства не попала в руки врагу.
Включите разблокировку Signal пеном или через распознавание лица/пальцев.
Включите отображение вызовов Signal в истории вызовов (чтобы никто не мог понять, с какими контактами общаетесь).
Очистите всю историю прошедших чатов, если они вам не нужны.
Не называйте свое настоящее имя, а используйте псевдоним. То же самое касается всех остальных мессенджеров и приложений — не «светите» своего имени и фамилии. Псевдоним — всегда хороший вариант. Эта рекомендация важна для военных.
Настройки на рисунке ниже также помогут повысить уровень приватности и безопасности.
3. Альтернативы Signal
Говоря о мессенджерах, важно понимать, что здесь нет так называемого «серебряного шара», который будет абсолютно безопасным и его невозможно будет сломать. Альтернативой Signal, часто используемой украинскими военными и считать условно безопасной, можно рассмотреть мессенджер Threema. Он имеет больше средств взаимного контроля и проверки, однако его установка платная.
По мнению экспертной команды Госспецсвязи, условно безопасен также мессенджер WhatsApp. Традиционно многие считают его хуже с точки зрения безопасности, чем Signal, однако сломать его сложнее.
Но ни в коем случае не используйте мессенджеры Telegram и Viber для передачи чувствительных данных. Российские хакеры, например, используют функционал Telegram для того, чтобы выявлять концентрации мобильных устройств наших военнослужащих и наносить удар.
Для военных рекомендуется использовать средства, авторизованные в ВСУ и доведенные до использования личным составом и руководителями безопасности.
4. Куда обращаться в случае излома
Если это организация, можно обратиться в Центр реагирования на киберинциденты CERT-UA Госспецсвязи, отправить сообщение на [email protected] или позвонить по: +38 (044) 281-88-25 +38 (044) 281-88-05 +38 (044) 281-88-01
Если ВСУ: Очередной центр кибербезопасности ВС Украины Почта: [email protected] Telegram/Signal: +380673321891
5. Какова вероятность взлома и как этому противодействовать
— Зная номер телефона, например военного, злоумышленники могут перехватить SMS с кодом доступа в приложение на телефон российскими средствами РЭБ и подставными станциями мобильной связи (возможны даже на беспилотниках). Такой риск достаточно высок в приграничных районах и зоне боевых действий.
— Самым популярным способом является взлом через компьютерную версию Signal — через отправку документа Word/Excel или других исполняемых файлов в архиве через Signal и злоумышленники смогут скрыто следить за экраном, делать скриншоты и перехватывать нажатие клавиш на клавиатуре. Также российские хакеры могут украсть сессию компьютерной версии Signal и скрыто следить за сообщениями в аккаунте и группах; и даже эксплуатируя доверие между абонентами отправкой сообщений легитимным абонентам (опять же для дальнейшего продвижения и захвата других компьютеров и аккаунтов).
В настоящее время команда Госспецсвязи наблюдает активные попытки проникновения по социальной инженерии, особенно в Signal-версии для компьютера. Как показано на примере ниже.
Часто злоумышленники также притворяются службой безопасности Signal, как на фото ниже. Помните, что служба безопасности Signal никогда не контактирует своих клиентов через такие сообщения, а также не совершает вызовы и рассылки SMS.
— Немаловажно не принимать и не доверять незнакомым контактам, их нужно сразу блокировать. При целенаправленных атаках — злоумышленники проводят детализированный сбор информации и имеют достаточно контактов знакомых и друзей, притворяясь которыми, просят совершить определенные действия.
Перезвонить даже по незащищенной связи, но для валидации абонента лучше, чем принимать и доверять сообщениям подобно описанию на скриншоте выше.
Не доверяйте файлам в архивах. Обязательно используйте антивирус на компьютере.
6. Как проверить, не скомпрометировано ли мобильное устройство
Если есть подозрение на компрометацию устройства или чата — военным лучше обратиться в CERT-UA или в Очередной центр кибербезопасности ВС Украины на почту: [email protected]. Альтернативно — просмотрите подключенные устройства (linked Devices) и проверьте, нет ли среди списка других неизвестных гаджетов, которые не пользовались. Также следует обновить через Google Play Market приложение Signal и проверить, нет ли двух приложений Signal на мобильном устройстве.