Федеральное бюро расследований (ФБР) США выпустило важное публичное предупреждение, в котором официально приписывает серию изощренных фишинговых кампаний, нацеленных на пользователей приложений для зашифрованного обмена сообщениями, российским спецслужбам. Это представляет собой значительную эскалацию в публичной атрибуции, переход от общих описаний деятельности «поддерживаемой государством» к прямой связи с аппаратом российской разведки. Целью кампаний, скомпрометировавших тысячи учетных записей по всему миру, является обход сквозного шифрования (E2EE) таких платформ, как Signal и WhatsApp, не с помощью криптоанализа, а путем эксплуатации человеческого фактора для захвата учетных записей. Похищая учетные данные или токены сеансов, злоумышленники эффективно обходят криптографическую защиту, получая несанкционированный доступ к личным перепискам, спискам контактов и возможность выдавать себя за жертв.
По данным ФБР, хотя методы применимы ко многим коммерческим мессенджерам, основное внимание уделяется пользователям Signal. Цель — сбор разведданных. Скомпрометированный доступ позволяет атакующим читать историческую и текущую личную переписку, собирать конфиденциальные списки контактов и использовать доверенное положение учетной записи жертвы для запуска вторичных, высокоубедительных фишинговых атак против их коллег, партнеров и других высокоценных целей. Этот вектор атаки «из доверенного источника» значительно повышает успешность последующих усилий по социальной инженерии, создавая каскадный эффект компрометации.
ФБР отмечает, что кампании являются высокоцелевыми и сосредоточены на «лицах, представляющих высокую разведывательную ценность». Сюда входят действующие и бывшие официальные лица США и союзных правительств, военнослужащие, политические деятели, дипломаты и журналисты. Глобальный масштаб компрометации, затронувшей «тысячи» учетных записей, подчеркивает широту шпионской операции. Эта атрибуция ФБР согласуется и развивает более ранние технические рекомендации органов кибербезопасности Нидерландов (MIVD) и Франции (ANSSI), которые ранее подробно описывали аналогичные фишинговые тактики, нацеленные на эти платформы, без явного указания ответственного государственного субъекта.
Данное развитие событий служит критическим напоминанием о том, что безопасность любой системы связи зависит от самого слабого звена, которым часто является пользователь. Хотя сквозное шифрование остается жизненно важным для защиты данных при передаче от технического перехвата, оно не может защитить от захвата учетной записи с помощью украденных учетных данных. В рекомендации содержится призыв ко всем пользователям, особенно занимающим чувствительные должности, активировать все доступные методы двухфакторной аутентификации, такие как PIN-код блокировки регистрации в Signal, и проявлять крайнюю бдительность в отношении непрошенных сообщений, даже тех, которые, казалось бы, поступают от известных контактов. Организации должны интегрировать эту угрозу в свои программы обучения безопасности, подчеркивая, что компрометация личной учетной записи мессенджера может представлять прямой риск для безопасности предприятия и национальных интересов.
