Jednak najnowszy raport holenderskich służb wywiadowczych (MIVD oraz AIVD) brutalnie weryfikuje to przekonanie. Jak podaje serwis TechCrunch, rosyjscy hakerzy państwowi udowadniają, że nie muszą łamać algorytmów ani szukać luk w kodzie aplikacji, jeśli potrafią „zhakować” samego użytkownika.
Anatomia ataku
Najciekawszym wnioskiem płynącym z raportu jest niemal całkowita rezygnacja napastników ze złośliwego oprogramowania. Zamiast inwestować w drogie exploity, rosyjskie grupy stawiają na inżynierię społeczną.
Signal uchodzi za złoty standard prywatności, ale jego piętą achillesową okazuje się proces rejestracji nowego urządzenia. Scenariusz ataku wygląda następująco:
- Hakerzy podszywają się pod zespół wsparcia technicznego Signal bezpośrednio wewnątrz aplikacji.
- Wysyłają alert o „wycieku danych” lub „podejrzanej aktywności”.
- Ofiara, chcąc ratować konto, podaje napastnikowi kod weryfikacyjny SMS oraz PIN, który hakerzy wygenerowali, próbując zarejestrować numer ofiary na swoim urządzeniu.
Efekt? Napastnik przejmuje tożsamość użytkownika i blokuje mu dostęp do konta. Co gorsza, Signal przechowuje historię czatów lokalnie. Gdy ofiara odzyskuje dostęp do konta, widzi swoje stare wiadomości i często błędnie zakłada, że „nic się nie stało”, podczas gdy napastnik zdążył już pobrać listę kontaktów i przeprowadzić rekonesans.
WhatsApp i pułapka „połączonych urządzeń”
W przypadku WhatsAppa hakerzy wykorzystują funkcję Linked Devices, która pozwala korzystać z komunikatora na komputerze czy tablecie.
- Ofiary są nakłaniane do zeskanowania złośliwego kodu QR lub kliknięcia w link „dodający do grupy”.
- W rzeczywistości użytkownik autoryzuje urządzenie hakera jako zaufany terminal.
- W przeciwieństwie do Signala, ta metoda pozwala napastnikom na odczytanie historii wiadomości i długofalowe szpiegowanie bez wylogowywania ofiary.
Dla liderów technologicznych i założycieli startupów ta sytuacja to sygnał ostrzegawczy. Bezpieczeństwo produktu nie kończy się na bezpiecznym protokole przesyłania danych.
- User Experience a bezpieczeństwo: funkcje ułatwiające życie (jak kody QR czy multi-device) są najczęstszym wektorem ataku.
- Edukacja zamiast łatek: nawet najbezpieczniejszy system zawiedzie, jeśli pracownik udostępni kod weryfikacyjny przez chat.
- Weryfikacja wsparcia: oficjalne aplikacje (w tym Signal) praktycznie nigdy nie kontaktują się z użytkownikami bezpośrednio przez czat w celu prośby o dane wrażliwe.
Holenderski wywiad podkreśla, że techniki te były wcześniej testowane na froncie wojny cybernetycznej w Ukrainie, a teraz są skalowane na cały świat. W dobie narastających napięć geopolitycznych, cyfrowa higiena przestaje być domeną „paranoików”, a staje się fundamentem operacyjnym każdej organizacji.
