Хакеры попытались проникнуть в аккаунты пользователей мессенджера Signal. Разбираемся, получилось ли у них это сделать, почему новость вообще стала популярной и можно ли защитить свою переписку и другие данные с гарантией?
Что произошло?
Мессенджер Signal подвергся атаке 15 августа. Об этом сообщила команда сервиса. Хакеры попытались получить доступ в 1900 аккаунтов пользователей, но больше всего их интересовали 3 конкретных телефонных номера.
Один из трёх пользователей сообщил, что его аккаунт был внезапно активирован на другом устройстве. Разумеется, без ведома владельца.
Почему атака стала событием в мире информационной безопасности? Хороший вопрос, ведь общая аудитория Signal составляет 40 миллионов пользователей. Взломать попытались довольно мизерное количество учетных записей.
Всё дело в том, что мессенджер позиционирует себя, как сервис для безопасного и конфиденциального общения. К примеру, один из пиков роста популярности Signal пришёлся на январь 2021 года, когда WhatsApp заставил всех пользователей согласиться с принудительной отправкой их данных в Facebook.
Неудивительно, что многие возмутились и перешли в другой мессенджер.
Как хакеры смогли взломать безопасный Signal?
Многие порталы не раз писали о том, что Signal безопасен и подходит для приватных переписок. Но вот теперь на него совершена успешная атака. Выходит, что все утверждения о конфиденциальности — это миф?
Очень важный момент заключается в том, что Signal, как и Telegram, к примеру, требует номер телефона пользователя для аутентификации. Чтобы попасть в профиль, нужно ввести код из SMS. Довольно распространённая схема.
Вот только сам Signal не занимается рассылкой аутентификационных сообщений, как и большинство других мессенджеров. Эту функцию выполняют провайдеры. Как правило, они обслуживают сразу множество сервисов с подобным способом входа в аккаунт.
В данном случае, провайдером выступила компания Twilio. Именно она стала той ахиллесовой пятой, которая помогла взломщикам подобраться к личной информации пользователей. Сыграл пресловутый человеческий фактор.
То есть, фактически речь идет не о взломе, как таковом, а о социальной инженерии. Злоумышленникам не пришлось создавать новый вирус или как-то иначе искать подход к технической стороне вопроса. Они поступили гораздо проще.
Попросту начали рассылать письма сотрудникам Twilio, где говорилось, что тем нужно срочно обновить пароли, так как прежние устарели. Для этого необходимо перейти по фишинговой (кто бы мог подумать?) ссылке.
Как ни удивительно, некоторые получатели «купились» на такой простенький трюк и в процессе «смены пароля» предоставили в руки хакерам свой настоящий пароль вместе с логином.
Таким образом взломщики получили доступ ко всем внутренним системам Twilio. Дальше — дело техники. Чтобы войти в аккаунт нужного пользователя Signal на другом устройстве, нужно лишь перехватить SMS, что и было сделано.
Можно ли дальше пользоваться мессенджером?
Как показала жизнь, даже заточенный под максимальную безопасность и конфиденциальность Signal можно взломать. С другой стороны, у нас есть все основания говорить, что мессенджер продолжает оставаться надежным и приватным.
Как же так?
Во-первых, доступ к личной переписке преступники так и не получили. Благодаря сквозному шифрованию и протоколу Signal Protocol система устроена так, что сообщения хранятся на устройствах пользователей, а не на серверах мессенджера или ещё где-то. Поэтому добраться до переписки со стороны попросту невозможно.
Хорошо, а как же тогда список контактов пользователей? Да, такая информация хранится на серверах Signal, чтобы вы могли получать уведомления о том, кто из ваших знакомых присоединился к мессенджеру.
Но здесь тоже всё застраховано. Данные хранятся в безопасных хранилищах. Даже у сотрудников Signal нет к ним доступа, что исключает повторение истории с фишинговыми письмами.
Кроме того, телефонные номера на серверах хранятся в виде хеш-суммы, а не открытого текста. Само приложение может отправлять зашифрованную информацию о контактах и получать такой же ответ. Но для злоумышленников никакого толка от перехваченной информации не будет.
Поэтому заполучить «телефонную книгу» взломанных пользователей у них тоже не вышло.
Тем не менее, формально, атаку можно считать успешной. Тем более, навряд ли Signal откажется от услуг Twilio. А если и откажется, где гарантия, что новый провайдер не попадётся в ту же самую ловушку?
Как максимально защитить свою переписку?
Есть два простых шага, которые не позволили бы хакерам добиться даже тех скромных результатов, которые они получили.
- Включите функцию «Блокировка регистрации». Это одна из настроек Signal. По умолчанию она отключена, но если её активировать, приложение будет требовать заданный пользователей PIN-код при авторизации на новом устройстве. Именно отключение «Блокировки регистрации» позволило хакерам пробраться в один из аккаунтов, а затем более 12 часов выдавать себя за настоящего владельца.
- Не используйте свой личный номер телефона. Его можно заменить виртуальным номером, который обладает точно таким же функционалом. К примеру, на него будут приходить одноразовые SMS-пароли.
Но облачный номер позволит сохранить вашу личность и контактные данные в тайне. К тому же, виртуальный номер защитит от спама и нежелательных SMS-рассылок. Как его получить?
Подключить услугу можно за несколько секунд в личном кабинете Плюсофон. Вам нужно зайти в раздел «Услуги», выбрать пункт «SMS», определиться с тарифом и нажать кнопку «Подключить».
Готово, сервис активирован!
Вы ещё не являетесь клиентом нашей компании? Пройти регистрацию можно по ссылке за несколько минут. Мы федеральный оператор связи. Поэтому по закону обязаны верифицировать вашу личность, чтобы предоставить доступ к услугам связи.
Самый быстрый вариант верификации через портал государственных услуг. Если у вас возникли вопросы или сложности, мы поможем. Напишите или позвоните в нашу службу поддержки.