بر اساس گزارش thehackernews، اداره تحقیقات فدرال آمریکا (FBI) و آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) هشدار مشترک خود در ماه مارس درباره حملات فیشینگ علیه کاربران سیگنال توسط هکرهای وابسته به سرویس‌های اطلاعاتی روسیه را به‌روزرسانی کرده‌اند.

طبق این هشدار، مهاجمان اکنون مرحله جدیدی به این حملات افزوده‌اند و تلاش می‌کنند کاربران سیگنال را متقاعد کنند تا کلید بازیابی نسخه پشتیبان (Backup Recovery Key) خود را در اختیار آن‌ها قرار دهند. در صورت دسترسی مهاجمان به این کلید، آن‌ها قادر خواهند بود نسخه پشتیبان حساب کاربر را بازیابی کرده، به تمامی پیام‌های خصوصی و گروهی دسترسی پیدا کنند و کنترل کامل حساب را در اختیار بگیرند.

نکته نگران‌کننده‌تر آن است که این کلید بازیابی حتی پس از حذف و ایجاد مجدد حساب با همان شماره تلفن نیز همچنان معتبر باقی می‌ماند و می‌تواند برای دسترسی دوباره به اطلاعات کاربر مورد استفاده قرار گیرد.

به همین دلیل، FBI و CISA به کاربران سیگنال توصیه کرده‌اند در صورتی که احتمال می‌دهند کلید بازیابی آن‌ها افشا شده باشد، از طریق بخش تنظیمات این پیام‌رسان یک کلید بازیابی جدید ایجاد کنند. با این کار، کلید قبلی برای دانلود نسخه‌های پشتیبان آینده بی‌اعتبار می‌شود و امکان سوءاستفاده از آن از بین می‌رود.

مهاجمان چگونه نفوذ پیدا می‌کنند؟

در نسخه به‌روزشده هشدار مشترک FBI و CISA، برای نخستین بار از دو گروه با نام‌های UNC5792 و UNC4221 نام برده شده است. به گفته FBI، فعالیت این گروه‌ها به چندین مجموعه وابسته به سرویس‌های اطلاعاتی روسیه، از جمله مأموران سرویس امنیت فدرال روسیه (FSB) و واحدهای اطلاعاتی وابسته به ارتش این کشور، نسبت داده می‌شود.

به گفته FBI، اهداف اصلی این کارزار، افراد دارای ارزش اطلاعاتی بالا از جمله مقام‌های فعلی و سابق دولت آمریکا و سایر کشورها، نیروهای نظامی، شخصیت‌های سیاسی، روزنامه‌نگاران و همچنین مقام‌های اوکراینی هستند. این نهاد پیش‌تر، در ماه مارس، اعلام کرده بود که این کارزار تاکنون هزاران حساب کاربری را در سراسر جهان هدف قرار داده و امنیت آن‌ها را به خطر انداخته است.

در این حملات، پیام‌های فیشینگ با جعل هویت تیم پشتیبانی سیگنال برای قربانیان ارسال می‌شود. در مراحل اولیه، مهاجمان از کاربران می‌خواستند کد تأیید پیامکی یا سایر کدهای امنیتی خود را ارسال کنند یا روی لینک‌های جعلی دعوت به گروه کلیک کنند؛ لینک‌هایی که به‌صورت مخفیانه دستگاه مهاجم را به حساب کاربری قربانی متصل می‌کرد.

اما در شیوه جدید، قربانی به‌صورت مرحله‌به‌مرحله راهنمایی می‌شود تا قابلیت تهیه نسخه پشتیبان سیگنال را فعال کند، کلید بازیابی نسخه پشتیبان را مشاهده کرده و سپس همان کلید را در گفت‌وگو برای مهاجم ارسال کند. در نمونه‌های منتشرشده، این درخواست‌ها با عناوینی مانند «فعال‌سازی اجباری احراز هویت دومرحله‌ای» یا «بازیابی فوری پیام‌ها برای جلوگیری از حذف اطلاعات» مطرح شده‌اند.

FBI و CISA تأکید کرده‌اند که این حملات به معنای شکسته شدن رمزنگاری سیگنال یا وجود آسیب‌پذیری در این پیام‌رسان نیست. مهاجمان با استفاده از مهندسی اجتماعی، کاربران را فریب می‌دهند و سپس از قابلیت‌های کاملاً قانونی این برنامه برای دسترسی به اطلاعات آن‌ها سوءاستفاده می‌کنند.

هم‌زمان با انتشار این هشدار، برنامه Rewards for Justice وابسته به وزارت خارجه آمریکا اعلام کرد که تا سقف ۱۰ میلیون دلار برای ارائه اطلاعاتی که به شناسایی یا مختل کردن فعالیت‌های گروه UNC5792 منجر شود، پاداش پرداخت خواهد کرد.

فعالیت این گروه‌ها پیش‌تر نیز در هشدارهای نهادهای اطلاعاتی هلند، آلمان و فرانسه مورد اشاره قرار گرفته بود. همچنین گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group) نخستین بار در سال ۲۰۲۵ سوءاستفاده گروه UNC5792 از قابلیت «دستگاه‌های متصل» در پیام‌رسان سیگنال را مستند کرد. بررسی‌های بعدی نیز نشان داد که همین روش برای هدف قرار دادن کاربران واتساپ و تلگرام نیز مورد استفاده قرار گرفته است.

کاربران چگونه امنیت سیگنال را حفظ کنند؟

هرچند بر اساس هشدار FBI، افراد دارای ارزش اطلاعاتی بالا اهداف اصلی این کارزار هستند، اما کارشناسان امنیت سایبری تأکید می‌کنند که سوءاستفاده از کلید بازیابی نسخه پشتیبان می‌تواند هر کاربر سیگنال را هدف قرار دهد. به همین دلیل، رعایت برخی توصیه‌های امنیتی برای همه کاربران این پیام‌رسان ضروری است.

در این زمینه، کاربران باید هرگونه پیام درون‌برنامه‌ای که با عنوان «Signal Support» یا تیم پشتیبانی سیگنال ارسال می‌شود را مشکوک تلقی کنند. تیم پشتیبانی سیگنال هرگز از طریق خود برنامه از کاربران درخواست کد تأیید، کلید بازیابی نسخه پشتیبان یا سایر اطلاعات امنیتی نمی‌کند. همچنین کاربران نباید کد تأیید یا کلید بازیابی خود را در هیچ گفت‌وگویی برای دیگران ارسال کنند.

FBI و CISA همچنین به کاربران توصیه کرده‌اند به‌طور دوره‌ای فهرست دستگاه‌های متصل به حساب خود را از طریق بخش تنظیمات بررسی کرده و هر دستگاه ناشناس یا مشکوک را حذف کنند. در صورتی که کاربر احتمال دهد کلید بازیابی نسخه پشتیبان خود را در اختیار شخص دیگری قرار داده است، باید بلافاصله یک کلید بازیابی جدید ایجاد کند و فرض را بر این بگذارد که مهاجم به نسخه‌های پشتیبان قبلی دسترسی پیدا کرده است.

FBI در پایان هشدار خود تأکید کرده است که اگرچه مهاجمان تاکتیک خود را از سرقت کدهای یک‌بارمصرف به سرقت کلید بازیابی نسخه‌های پشتیبان تغییر داده‌اند، اما رمزنگاری سرتاسری سیگنال همچنان امن است. به گفته این نهاد، نقطه ضعف این حملات نه فناوری رمزنگاری، بلکه حساب کاربری و کاربری است که با استفاده از مهندسی اجتماعی فریب داده می‌شود.