אפליקציית Signal, שנחשבת למבצר של פרטיות ואבטחת מידע, נמצאת בימים האחרונים תחת מתקפה מתוחכמת.
סוכנויות הביטחון והסייבר של גרמניה (BSI) פרסמו אזהרה חריגה למשתמשים בעקבות גל של ניסיונות פישינג (דיוג) שמטרתם אחת, להשתלט על חשבונות המשתמשים ולחשוף את ההתכתבויות הפרטיות שלהם.
סוכנויות הביון הגרמניות בהתרעה חריגה
המשרד הפדרלי לאבטחת מידע בגרמניה (BSI) דיווח כי האקרים החלו להפעיל קמפיין רחב היקף המכוון למשתמשי סיגנל. המתקפה אינה מנצלת פרצת אבטחה בקוד של האפליקציה, אלא מתבססת על "הנדסה חברתית" (Social Engineering), הטעיה של המשתמשים כדי שימסרו בעצמם את המפתחות לחשבון שלהם. מדובר במגמה מדאיגה, שכן סיגנל משמשת לעיתים קרובות עיתונאים, פעילי זכויות אדם ובכירים במערכות ביטחוניות בדיוק בגלל רמת ההצפנה הגבוהה שלה.
כך עובדת שיטת ה"חטיפה" של החשבון
התוקפים משתמשים בשיטת ה-Smishing (פישינג באמצעות SMS) או בהודעות ישירות בתוך האפליקציה:
- הודעת הפיתיון: המשתמש מקבל הודעה רשמית לכאורה, הטוענת כי חשבונו עומד להימחק, או שיש צורך ב"אימות דחוף" בגלל ניסיון פריצה.
- קוד האימות: במקביל, התוקף מנסה לרשום את מספר הטלפון של הקורבן במכשיר חדש שנמצא ברשותו. פעולה זו גורמת לסיגנל לשלוח קוד אימות ב-SMS למכשיר של הקורבן.
- ההטעיה: התוקף מבקש מהמשתמש להזין את הקוד שקיבל באתר מזויף או לשלוח אותו חזרה "כדי לבטל את מחיקת החשבון". ברגע שהקוד נמסר, התוקף מחבר את המכשיר שלו לחשבון של הקורבן.
המטרה: גישה להודעות הפרטיות שלכם
ברגע שההאקר הצליח לקשר מכשיר חדש לחשבון, הוא יכול לקרוא את כל ההודעות החדשות שיישלחו ויתקבלו (אם כי בדרך כלל הוא לא יוכל לראות היסטוריית הודעות ישנה בזכות ההצפנה של סיגנל). עם זאת, התוקף יכול לשלוח הודעות בשם המשתמש לאנשי הקשר שלו, מה שמאפשר להמשיך את שרשרת ההדבקה וההונאה לחברים ובני משפחה תחת זהות גנובה ואמינה.
איך תשמרו על החשבון שלכם בטוח?
כדי לא ליפול למלכודת, מומחי האבטחה ממליצים על שלושה צעדים קריטיים:
- לעולם אל תשתפו קודי אימות: סיגנל (או כל חברה לגיטימית אחרת) לעולם לא תבקש מכם את קוד ה-SMS שנשלח אליכם דרך הודעה אחרת.
- הפעילו "נעילת רישום" (Registration Lock): בהגדרות הפרטיות בסיגנל, ניתן להגדיר PIN אישי שיידרש בכל פעם שמישהו ינסה לרשום את מספר הטלפון שלכם במכשיר חדש. זהו שכבת הגנה קריטית שמונעת חטיפת חשבון גם אם הקוד הודלף.
- בדקו מכשירים מקושרים: מומלץ להיכנס להגדרות האפליקציה אחת לתקופה ולבדוק אילו מכשירים מקושרים לחשבון (Linked Devices). אם אתם רואים מכשיר שאינכם מזהים – נתקו אותו מייד.
