تلاش هکرها برای سرقت نسخه‌های پشتیبان کاربران سیگنال

هکرها در قالب یک کارزار جدید سایبری، کاربران پیام‌رسان سیگنال را هدف قرار داده‌اند تا به نسخه‌های پشتیبان (بک‌آپ) گفت‌وگوهای آن‌ها دسترسی پیدا کنند.

اخیرا جاش روگین، تحلیلگر روزنامه واشنگتن پست، تصویری از نوع جدیدی از حمله علیه کاربران سیگنال منتشر کرده است. در این روش، مهاجمان خود را به‌عنوان تیم پشتیبانی سیگنال معرفی کرده و به قربانی هشدار می‌دهند که به دلیل یک «مشکل همگام‌سازی»، نسخه پشتیبان چت‌ها و فایل‌های رسانه‌ای او در معرض حذف دائمی قرار دارد.

در این پیام ادعا شده است که برای جلوگیری از حذف اطلاعات، کاربر باید "کلید بازیابی" (Recovery Key) مورد استفاده برای دسترسی به نسخه‌های پشتیبان آنلاین خود را در اختیار پشتیبانی قرار دهد.

در متن این پیام آمده است:

"این اقدام نسخه پشتیبان فعلی شما را به حسابتان متصل می‌کند. در صورت انجام ندادن این کار، ممکن است دسترسی خود به حساب کاربری و تمامی داده‌های ذخیره‌شده را از دست بدهید."

این پیام ظاهراً از حسابی با نام «Signal Support» ارسال شده بود.

رئیس سیگنال،اعلام کرد: "در حال کار روی راهکارهای مقابله با این تهدید و پایش مستمر وضعیت هستیم."

فیشینگ با سوءاستفاده از اعتماد کاربران

این نوع حمله بر پایه فیشینگ انجام می‌شود؛ به این معنا که مهاجمان تلاش می‌کنند کاربران را فریب دهند تا اطلاعات محرمانه و مهم خود را در اختیارشان قرار دهند.

در این مورد خاص، هکرها با جعل هویت تیم پشتیبانی سیگنال، از اعتماد کاربران به این پیام‌رسان و سازمان پشتیبان آن سوءاستفاده می‌کنند.

سیگنال تأکید کرده است که هرگز ابتدا با کاربران تماس نمی‌گیرد و هیچ‌گاه کد ثبت‌نام، رمز PIN یا کلید بازیابی آن‌ها را درخواست نمی‌کند. بنابراین هر پیامی که ادعا کند از سوی «Signal Support» ارسال شده، در واقع متعلق به مهاجمان است.

این سازمان ماه گذشته نیز به‌صورت عمومی درباره همین نوع حملات هشدار داده بود.

چرا این حمله اهمیت دارد؟

اگرچه در ماه‌های اخیر موارد متعددی از جعل هویت پشتیبانی سیگنال مشاهده شده، اما این حمله از آن جهت متفاوت است که مستقیماً نسخه‌های پشتیبان کاربران را هدف قرار می‌دهد.

این نسخه‌های پشتیبان می‌توانند شامل پیام‌های قدیمی، تصاویر، اسناد و سایر اطلاعات حساس کاربران باشند.

در حملات پیشین، هدف مهاجمان عمدتاً ربودن حساب کاربری و سپس جعل هویت قربانی بود؛ اقدامی که می‌توانست برای دسترسی به فهرست مخاطبان یا برقراری ارتباط با دیگران به نام صاحب حساب مورد استفاده قرار گیرد.

با این حال، در آن روش‌ها هکرها به پیام‌های قدیمی دسترسی پیدا نمی‌کردند؛ زیرا حمله مبتنی بر ثبت مجدد حساب روی دستگاهی جدید بود و به دلیل معماری امنیتی سیگنال، پیام‌های گذشته روی دستگاه تازه ثبت‌شده نمایش داده نمی‌شوند.

نقش «کلید بازیابی» در امنیت نسخه‌های پشتیبان

هکرها می‌توانند از طریق ربودن شماره تلفن کاربران کنترل حساب‌های سیگنال را در دست بگیرند. با این حال، سیگنال قابلیت‌های امنیتی اختیاری از جمله "قفل ثبت‌نام" (Registration Lock) را ارائه کرده است که مانع اتصال شماره تلفن قربانی به دستگاهی جدید می‌شود، مگر اینکه مهاجم به رمز PIN کاربر دسترسی پیدا کند.

در چنین شرایطی، یکی از راه‌های مشاهده پیام‌های قدیمی، دسترسی به نسخه پشتیبان آنلاین قربانی است؛ اقدامی که مستلزم در اختیار داشتن کلید بازیابی خواهد بود.

سال گذشته، سیگنال قابلیت «Secure Backups» را معرفی کرد؛ ویژگی اختیاری جدیدی که به کاربران امکان می‌دهد محتوای حساب خود را روی سرورهای سیگنال ذخیره کنند.

این داده‌ها با استفاده از کلید بازیابی رمزگذاری می‌شوند؛ کلیدی که به گفته سیگنال «هرگز با سرورهای این شرکت به اشتراک گذاشته نمی‌شود» و «هیچ‌گاه از دستگاه کاربر خارج نمی‌شود».

سیگنال به کاربران توصیه کرده است که این کلید را در مکانی امن، مانند دفترچه یادداشت یا نرم‌افزار مدیریت رمز عبور، نگهداری کنند.

این شرکت اعلام کرده است:

"بدون کلید بازیابی منحصربه‌فرد شما، هیچ‌کس، حتی خود سیگنال، قادر به خواندن، رمزگشایی یا بازیابی اطلاعات ذخیره‌شده در آرشیو نسخه پشتیبان امن نخواهد بود."

به این ترتیب، تنها خود کاربر می‌تواند هنگام راه‌اندازی حساب روی یک تلفن جدید، نسخه پشتیبان رمزگذاری‌شده را از سرورهای سیگنال دریافت کرده و با استفاده از کلید بازیابی آن را رمزگشایی کند.