Російські хакери крадуть дані за допомогою месенджера, який відомий своїм високим рівнем безпеки. Про це розповів менеджер з аналізу кібершпигунства в Google Cloud's Mandiant Ден Блек. Про це повідомляє "Дивогляд" із посиланням на Google Threat Intelligence Group (GTIG).
Команда Google, яка спеціалізується на аналізі загроз кібербезпеки розповіла про те, що російські хакери здійснюють атаки на дані осіб, які "представляють інтерес для російських спецслужб". Зокрема про це йдеться у звіті-розслідуванні менеджера з аналізу кібершпигунства Дена Блека.
У GTIG також зазначають, що тактика та методи, які зараз використовують росіяни проти месенджера Signal й надалі будуть застосовуватися не тільки для українців.
Signal – це додаток-месенджер, що передбачає зашифровані миттєві повідомлення, тому ним користуються військовослужбовці, політики, журналісти та активісти. Через це, ця програма є доволі цікавою та вартісною для кіберзлочинців, зокрема російських хакерів у час війни.
Які методи використовують кіберзлочинці
Шкідливі QR-коди
Це одна з найпоширеніших та нових технік – хакери використовують функцію "пов’язаних пристроїв", завдяки якій можна входити до свого акаунта в месенджері з різних пристроїв одночасно. Для того, щоб додати новий пристрій – потрібно сканувати QR-код.
Саме завдяки цьому кіберзлочинці крадуть дані та доступ до особистого акаунту. Вони створюють шкідливі QR-коди, які сканують користувачі та з’єднують таким чином свій обліковий запис із пристроєм хакера.
Подібні шкідливі QR-коди маскують під нібито справжні функції додатка Signal, наприклад запрошення до груп, сповіщення системи безпеки та інструкції з підключення пристроїв. Також відомо про більш розвинені техніки, а саме фейкові вебсторінки для військових. Там хакери ховають свої QR-коди.
Варто бути уважними, адже подібні "зайві" пристрої можуть бути не поміченими дуже довго через відсутні засоби моніторингу схожих випадків.
Фальшиві запрошення
Відомо про ще одну техніку російських хакерів, а саме шпигунської групи кіберзлочинців UNC5792. Вони використовували для своїх цілей модифіковані "запрошення" в різні групи додатка Signal. Подібні запрошення виглядають дуже схожим на справжні.
Імітація програми "Кропива"
Чергова російська хакерська група UNC4221 зосереджувала свої сили та методи на дані українських військових. Кіберзлочинці створили несправжню копію програми "Кропива". Вона використовується нашими військовими для наведення артилерії.
Метою цієї техніки теж було викрадення особистих даних через Signal. Цього разу хакери додатково використовували запрошення до груп від знайомого контакту користувача.
Ця група хакерів використовувала такі атаки, як:
- фальшиві вебсайти, які виглядали як законні інструкції щодо зв’язування пристроїв;
- шкідливі QR-коди, вбудовані в фейкову "Кропиву".
Як себе убезпечити
- Увімкнути блокування екрана на всіх пристроях і обрати складний пароль (великі й малі букви, цифри й символи);
- якомога швидше оновлювати операційні системи й завжди використовувати останню версію Signal;
- переконатись, що ввімкнена функція Google Play Protect, яка перевіряє програми та пристрої на шкідливу поведінку;
- регулярно перевіряти зв’язані пристрої в налаштуваннях;
- обережно взаємодіяти з QR-кодами й вебресурсами, які виглядають як оновлення ПЗ, запрошення в групи або інші сповіщення, які спонукають до негайних дій;
- використовуйте за можливості двофакторну автентифікацію, зокрема через відбиток пальця, розпізнавання обличчя, ключ безпеки або одноразовий код.
Раніше "Дивогляд" розповідав про те, що в Україні планують створити державний аналог Telegram.
Поки на нашій землі війна, навіть "Дивогляд" – це не про котиків і пандочок, а про перемоги нашого війська! Наш Telegram – Дивогляд 5.UA.
