FBI ve CISA, Rus istihbaratının kimlik avı Signal hesaplarına ilişkin Mart ayı uyarısını güncelledi ve operatörler bir adım ekledi: Artık hedefleri Sinyal Yedekleme Kurtarma Anahtarlarını teslim etmeye ikna ediyorlar.
Bir kez teslim ettiğinizde saldırgan, hesabın yedeğini geri yükleyebilir, özel ve grup mesaj geçmişini okuyabilir ve hesabı ele geçirebilir. Daha da kötüsü, anahtar çalışmaya devam ediyor. Aynı telefon numarası üzerinden yeni bir hesap açtığınızda eski anahtarın bu hesaba karşı hâlâ kullanılabileceği uyarısında bulunuluyor.
Çözüm çok basit: Ayarlar'da yeni bir anahtar oluşturun, bu anahtar gelecekteki yedekleme indirmeleri için eski anahtarı yok eder ve saldırganın halihazırda çektiği her şeyin gittiğini kabul edin.
Güncellenen danışma belgesi PSA I-062626-PSA, Mart ayı bildiriminde bulunmayan iki genel izleme adını ekliyor: UNC5792 ve UNC4221. FBI, bu faaliyeti, FSB Sınır Muhafızlarına bağlı FSB görevlileri ve Rus askeri hizmetleri için çalışan diğerleri de dahil olmak üzere çok sayıda Rus İstihbarat Servisi (RIS) grubuyla ilişkilendiriyor. Kampanya Signal ve WhatsApp hesaplarını vuruyor; danışma belgesinde açıklanan yeni kurtarma anahtarı taktiği Signal'e özeldir.
Hedefler yüksek istihbarat değerine sahip kişilerdir: mevcut ve eski ABD ve uluslararası hükümet yetkilileri, askeri personel, siyasi figürler, gazeteciler ve Ukrayna'daki yetkililer. Mart ayı bildiriminde, daha geniş kampanyanın halihazırda dünya çapında binlerce hesabı tehlikeye attığı belirtildi.
Kimlik avı mesajı Signal desteği gibi görünüyor. Daha önceki dalgalar, SMS doğrulama kodlarını ve hesap PIN'lerini istiyordu ya da saldırganın cihazını hesaba sessizce bağlayan, üzerinde oynanmış "grup daveti" bağlantıları kullanıyordu.
Güncellenen sürüm, Signal yedeklemelerini açarak, Kurtarma Anahtarını açarak ve bunu sohbete yapıştırarak hedefe yol gösterir. Tavsiye belgesi iki örnek mesaj basıyor: biri zorunlu iki faktörlü bir kullanıma sunma görünümünde, diğeri ise kaybolma riski altında olduğu varsayılan mesajlar için acil bir "veri kurtarma" düzeltmesi olarak.
Mart ayında olduğu gibi ajanslar, bunların hiçbirinin Signal'in şifrelemesini veya uygulamanın kendisini bozmadığını açıkça belirtiyor. Aktörler, sosyal mühendislik yoluyla bireysel hesapların güvenliğini ihlal ediyor, ardından meşru bir özellik aracılığıyla içeri giriyor.
Güncellemenin yanı sıra, Dışişleri Bakanlığı'nın Adalet için Ödül programı UNC5792 hakkında bilgi için 10 milyon dolara kadar teklif veriyor.
Faaliyet, Hollanda istihbaratının (AIVD ve MIVD), Almanya'nın BfV ve BSI'sının ve Fransa'nın ANSSI'sinin bu yılın başlarında yaptığı uyarılarla örtüşüyor. Google'ın Tehdit İstihbarat Grubu, UNC5792'nin Signal'in bağlantılı cihaz özelliğini kötüye kullandığını ilk olarak 2025'in başlarında belgeledi ve aynı ticari yaklaşımın WhatsApp ve Telegram'a karşı da uygulandığını gördü.
Şimdi ne yapmalı
"Sinyal desteği"nden gelen tüm uygulama içi mesajları düşmanca olarak değerlendirin. Gerçek destek, uygulama içinde size kodlar, PIN'ler veya Kurtarma Anahtarınızı istemek için mesaj göndermez.
Yedekleme Kurtarma Anahtarınızı, doğrulama kodunuzu veya PIN'inizi asla bir sohbete yapıştırmayın. Hiçbir meşru şey onları bu şekilde istemez.
Ayarlar'ı açın, Bağlı Cihazlar'ı kontrol edin ve tanımadığınız her şeyi kaldırın.
Kurtarma Anahtarınızı teslim ettiğinizi düşünüyorsanız şimdi Ayarlar'da yeni bir anahtar oluşturun ve bundan önce yapılan yedeklemelerin zaten başka birinin elinde olduğunu varsayın.
Mart ayı duyurusu taktiklerin değişeceği konusunda uyardı. Tek seferlik kodları kovalamaktan arşivin tamamını açan anahtarı almaya kadar birçok şeyi başardılar. Şifreleme geçerli. Hesap zayıf noktadır ve onu tutan kişi de hedeftir.