Signal — один з найпопулярніших месенджерів серед українських військових. Держспецзв'язку відповів на найпопулярніші запитання про його роботу та розповідає, як зробити користування застосунком максимально безпечним.
Чи правда, що Signal зламали?
Станом на літо 2023 року відсутні підтвердження зламу месенджера. Єдиний такий інцидент стався влітку 2022 року і про нього повідомила сама компанія. Тоді вдалося зламати лише 1 900 акаунтів. Усі вони належали працівникам компанії Twilio, що надає послуги SMS-перевірки для Signal.
Хакери здійснили фішингову атаку, під час якої змогли дістати доступ до конфіденційної інформації.
«Приблизно для 1900 користувачів зловмисник міг спробувати перереєструвати номер на інший пристрій або дізнатися, що їхній номер зареєстрований на Signal», — повідомляла компанія.
Станом на серпень 2023 року нових відомих вразливостей, про які користувачам потрібно хвилюватися, зафіксовано не було.
Як зловмисники можуть отримати доступ до акаунту у Signal?
Держспецзв'язку перераховує найпопулярніші методи, за допомогою яких зловмисники намагаються отримати доступ до чужих акаунтів у Signal:
- Знаючи ваш номер телефону, російські зловмисники можуть перехопити SMS із кодом доступу на додаток на телефон російськими засобами РЕБ та підставними станціями мобільного зв'язку (які можливі навіть на безпілотниках). Такий ризик доволі високий у прикордонних районах та зоні бойових дій.
- Найпопулярнішим способом є злом через комп'ютерну версію Signal — через надсилання документу Word / Excel або інших файлів у архіві через Signal, які виконаються, і зловмисники зможуть приховано стежити за екраном, робити скриншоти та перехоплювати натискання клавіш на клавіатурі. Також російські хакери можуть викрасти сесію комп'ютерної версії Signal та приховано стежити за повідомленнями в обліковому записі та групах; та навіть експлуатуючи довіру між абонентами надсиланням повідомлень легітимним абонентам (знову ж – для подальшого просування та захоплення інших комп'ютерів та акаунтів).
- Часто зловмисники прикидаються службою безпеки Signal, щоби виманити чутливі дані. При цілеспрямованих атаках проти конкретних керівників та офіцерів – зловмисники проводять деталізований збір інформації та мають достатньо контактів знайомих і друзів, прикидаючись якими, просять вчинити певні дії.
У Держспецзв'язку наголошують, що передзвонити навіть по незахищеному зв'язку, але для валідації абонента — краще, ніж приймати і одразу довіряти повідомленням. Також на можна довіряти файлам в архівах і треба обов'язково використовувати антивірус на комп'ютері. Крім того, щ особливою пересторогою треба ставитися до повідомлень від неперевіреного адресанта зі словами «негайно», «терміново», «важливо». Терміновість часто використовується зловмисником для злому через довіру та гарячковість.
Чи зламували у Signal групи аеророзвідників та групи, де циркулювала важлива військова інформація?
Зафіксовані випадки, коли російські хакери з ФСБ і ГРУ змогли вклинитися через викрадені мобільні пристрої (наприклад, полонених військовослужбовців) і скомпроментовані Windows комп'ютери та дістали доступ до чатів / груп, де передавалися важливі звіти. Учасники групи не знали про компрометацію одного з учасників.
Контррозвідувальні дії та фіксування викрадених файлів дозволяли виявити, в якій саме групі ці дані / звіти / довідки передавалися – та виявити скомпрометованих учасників.
У Держспецзв'язку наголошують на важливості уважної перевірки та верифікації з розробниками цілісності (checksum) спеціалізованих додатків для Android, які розповсюджуються через групи в Signal та встановлюються на мобільні пристрої. Були зафіксовані випадки розповсюдження інфікованих APK-файлів, якими зловмисники віддалено стежили за жертвами.
Як захистити свій Signal від зламу?
- Не додавати невідомих та неперевірених контактів.
- Уважно верифікувати, хто знаходиться в групі. Ідентифікація і авторизація новачків. Що менше адмінів – то краще.
- Не довіряти великим групам у Signal.
- Налаштувати видалення повідомлень за годину або один день, залежно від ваших потреб. Але точно краще, щоб повідомлення автоматично видалялися.
- Зареєструвати Signal на номер, який з вами не пов'язаний (скористатися сервісами). Таким чином російські військові хакери, навіть отримавши інформацію про списки (наприклад, керівників артилерійських бригад), не зможуть таргетовано працювати проти вас, вас треба буде ще знайти.
- Перевіряти підключені пристрої.
- Обов'язково мати антивірус на Windows / Linux / MacOS комп'ютерах.
- Зайти в налаштування Signal та активувати PIN, відключити можливість перевіряти, чи хтось набирає, є ключові налаштування приватності та безпеки облікового запису. Settings → Account → Registration Lock.
Як часто варто оновлювати Signal?
Signal треба відразу оновлювати як у мобільній, так і комп'ютерній версії.
Які додаткові налаштування безпеки і приватності варто зробити в Signal?
Держспецзв'язку рекомендує встановити наступні налаштування через мобільний додаток:
- Налаштувати обов'язкове автоматичне видалення меседжів за певний час, а також рекомендуємо видалити старі повідомлення, щоб інформація у випадку фізичної втрати пристрою не потрапила до рук ворогу.
- Ввімкнути розблокування Signal піном або через розпізнавання обличчя / пальців.
- Вимкнути відображення дзвінків Signal в історії дзвінків (щоб ніхто не зміг розуміти, з якими контактами ви спілкуєтеся).
- Очистити всю історію минулих чатів, якщо вони вам не потрібні.
- Не називати свого справжнього імені, а використовувати псевдонім. Це ж стосується і всіх інших месенджерів та додатків. Псевдонім – завжди хороший варіант.
Куди звертатися у разі підозри на злам акаунту у месенджері?
Організаціям можна звернутися до Центру реагування на кіберінциденти CERT-UA Держспецзв'язку, надіслати повідомлення на cert@cert.gov.ua або зателефонувати на:
+38 (044) 281-88-25
+38 (044) 281-88-05
+38 (044) 281-88-01
Військовослужбовцям необхідно звертатися до чергового центру кібербезпеки ЗСУ
Пошта: csoc@post.mil.gov.ua
Telegram / Signal: +380673321891
Як перевірити, чи мобільний пристрій не скомпроментовано?
У разі появи підозри щодо компрометації пристрою чи чату краще звернутися в CERT-UA або до Чергового центру кібербезпеки ЗС України. Також можна переглянути підключені пристрої (linked Devices) та перевірити, чи немає серед списку підключених інших невідомих гаджетів, якими ви не користувались. Також варто обновити через Google Play Market додаток Signal і перевірити, чи у вас, часом, немає двох додатків Signal на мобільному пристрої.
Чи існують більш безпечні альтернативи Signal для ЗСУ?
У Держспецзв'язку наголошують, що тут немає званої «срібної кулі», яка буде абсолютно безпечною і її неможливо буде зламати. Альтернативою Signal, який часто використовують військові, можна розглянути месенджер Threema. Він має більше засобів взаємного контролю та перевірки, проте його встановлення є платним.
Умовно безпечним у Держспецзв'язку також вважають WhatsApp. Водночас не рекомендують для пересилання чутливих даних Telegram та Viber. Російські хакери, наприклад, використовують функціонал Telegram для того, щоб виявляти концентрації мобільних пристроїв наших військовослужбовців та завдавати удару.
Оновлено 8.09.2023. Після публікації матеріалу з редакцією зв’язались представники Rakuten Viber. В компанії вважають за потрібне прокоментувати зауваження Держспецзв'язку про їхній месенджер.
«Безпека та приватність спілкування — одна з ключових цінностей нашого продукту. Чати та персональні дзвінки у Viber захищені наскрізним шифруванням за замовчуванням з 2016 року, а отже доступ третіх сторін, зокрема, співробітників компанії до них неможливий.
Ключі дешифрування до чатів та дзвінків зберігаються лише на пристроях користувачів, щоб вони могли розшифрувати та відкривати свої чати та здійснювати дзвінки. Viber також не має доступу до цих файлів», — зазначили в компанії.
