Российские хакеры воруют данные с помощью мессенджера, известного своим высоким уровнем безопасности. Об этом рассказал менеджер по анализу кибершпионажа в Google Cloud's Mandiant Дэн Блэк. Об этом сообщает "Дивогляд" со ссылкой на Google Threat Intelligence Group (GTIG).
Команда Google, специализирующаяся на анализе угроз кибербезопасности рассказала о том, что российские хакеры совершают атаки на данные лиц, "представляющих интерес для российских спецслужб". В частности, об этом говорится в отчете-расследовании менеджера по анализу кибершпионажа Дэна Блэка.
В GTIG также отмечают, что тактика и методы, которые сейчас используют россияне против мессенджера Signal, и в дальнейшем будут применяться не только для украинцев.
Signal – это приложение-мессенджер, предусматривающий зашифрованные мгновенные сообщения, поэтому им пользуются военнослужащие, политики, журналисты и активисты. Поэтому эта программа довольно интересна и стоима для киберпреступников, в частности российских хакеров во время войны.
Какие методы используют киберпреступники
Вредные QR-коды
Это одна из самых распространенных и новых техник – хакеры используют функцию "связанных устройств", благодаря которой можно входить в свой аккаунт в мессенджере с разных устройств одновременно. Чтобы добавить новое устройство, нужно сканировать QR-код.
Именно благодаря этому киберпреступники воруют данные и доступ к личному аккаунту. Они создают вредоносные QR-коды, которые сканируют пользователи и соединяют таким образом свою учетную запись с хакерским устройством.
Подобные вредоносные QR-коды маскируют под якобы подлинные функции приложения Signal, например приглашения в группы, уведомления системы безопасности и инструкции по подключению устройств. Также известно о более развитых техниках, а именно фейковых вебстраницах для военных. Там хакеры прячут свои QR-коды.
Следует быть внимательными, ведь подобные "лишние" устройства могут быть не замечены слишком долго из-за отсутствующих средств мониторинга подобных случаев.
Фальшивые приглашения
Известно еще об одной технике российских хакеров, а именно шпионской группы киберпреступников UNC5792. Они использовали для своих целей модифицированные "приглашения" в разные группы приложения Signal. Подобные приглашения выглядят очень похожими на настоящие.
Имитация программы "Кропива"
Очередная российская хакерская группа UNC4221 сосредотачивала свои силы и методы данных украинских военных. Киберпреступники создали ложную копию программы "Кропива". Она используется нашими военными для наведения артиллерии.
Целью этой техники тоже было похищение личных данных через Signal. На этот раз хакеры дополнительно использовали приглашения в группы от знакомого контакта пользователя.
Эта группа хакеров использовала такие атаки, как:
- фальшивые вебсайты, которые выглядели как законные инструкции по связыванию устройств;
- вредоносные QR-коды, встроенные в фейковую "Кропиву".
Как себя обезопасить
- Включить блокировку экрана на всех устройствах и выбрать сложный пароль (прописные и строчные буквы, цифры и символы);
- как можно быстрее обновлять операционные системы и использовать последнюю версию Signal;
- убедиться, что включена функция Google Play Protect, проверяющая приложения и устройства на вредное поведение;
- регулярно проверять связанные устройства в настройках;
- осторожно взаимодействовать с QR-кодами и вебресурсами, которые выглядят как обновление ПО, приглашения в группы или другие уведомления, побуждающие к немедленным действиям;
- используйте по возможности двухфакторную аутентификацию, в том числе через отпечаток пальца, распознавание лица, ключ безопасности или одноразовый код.
Ранее "Дивогляд" рассказывал о том, что в Украине планируют создать государственный аналог Telegram.
Пока на нашей земле война, даже "Дивогляд" – это не о котиках и пандочках, а о победах нашего войска! Наш Telegram – Дивогляд 5.UA.
