FBI ostrzega przed phishingiem wymierzonym w Signal i WhatsApp

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

FBI i CISA ostrzegły przed trwającą kampanią phishingową, w której atakujący próbują przejmować konta użytkowników komunikatorów takich jak Signal i WhatsApp. najważniejsze jest to, iż operacja nie polega na łamaniu szyfrowania end-to-end, ale na obejściu zabezpieczeń poprzez socjotechnikę, wyłudzenie danych uwierzytelniających oraz nadużycie funkcji łączenia dodatkowych urządzeń.

To ważne rozróżnienie z perspektywy bezpieczeństwa: sama aplikacja może pozostawać kryptograficznie bezpieczna, a mimo to konto użytkownika może zostać skutecznie przejęte. W praktyce oznacza to, iż największym celem napastników staje się dziś tożsamość użytkownika, a nie sam algorytm szyfrujący.

W skrócie

Według ostrzeżenia opublikowanego 20 marca 2026 roku kampania doprowadziła już do nieautoryzowanego dostępu do tysięcy kont. Napastnicy podszywają się pod wsparcie techniczne, komunikaty bezpieczeństwa lub zaufane kontakty i nakłaniają ofiary do przekazania kodów weryfikacyjnych, PIN-ów albo do kliknięcia spreparowanego odnośnika czy zeskanowania kodu QR.

  • celem są przede wszystkim konta w Signal, ale podobne techniki mogą dotyczyć także WhatsApp i innych komunikatorów,
  • atak nie wymaga złamania szyfrowania end-to-end,
  • możliwy jest pełny takeover konta lub podpięcie urządzenia napastnika jako dodatkowego klienta,
  • przejęte konto może zostać wykorzystane do dalszego phishingu i działań wywiadowczych.

Kontekst / historia

Nowe ostrzeżenie wpisuje się w szerszy trend obserwowany w działaniach grup APT i operatorów cyberszpiegowskich. Zamiast inwestować zasoby w próbę obejścia nowoczesnych mechanizmów kryptograficznych, napastnicy coraz częściej koncentrują się na przejęciu procesu logowania, rejestracji urządzeń oraz zaufania użytkownika końcowego.

W analizowanej kampanii szczególnie narażone są osoby o wysokiej wartości operacyjnej i wywiadowczej, w tym urzędnicy państwowi, wojskowi, politycy, dziennikarze oraz osoby mające dostęp do informacji wrażliwych. Charakter operacji wskazuje na działania ukierunkowane, ale jednocześnie wystarczająco skalowalne, by objąć szeroką grupę ofiar na poziomie międzynarodowym.

Analiza techniczna

Mechanizm ataku jest stosunkowo prosty, ale bardzo skuteczny. Ofiara otrzymuje wiadomość podszywającą się pod pomoc techniczną, alert bezpieczeństwa albo znany kontakt. Taki komunikat zwykle zawiera presję czasową i sugestię, iż konto wymaga natychmiastowej reakcji z powodu rzekomego incydentu, nietypowej aktywności lub konieczności pilnej weryfikacji.

Atak realizowany jest najczęściej w dwóch wariantach. W pierwszym scenariuszu przestępcy wyłudzają kod rejestracyjny, kod SMS, PIN albo dane 2FA, a następnie wykorzystują je do przejęcia lub ponownej rejestracji konta. W efekcie użytkownik może stracić kontrolę nad kontem, a napastnik zyskuje możliwość odbierania nowych wiadomości i komunikowania się w imieniu ofiary.

Drugi wariant polega na skłonieniu użytkownika do kliknięcia spreparowanego odnośnika lub zeskanowania kodu QR. Takie działanie może doprowadzić do podłączenia urządzenia kontrolowanego przez napastnika jako dodatkowego klienta komunikatora. Ten model jest szczególnie niebezpieczny, ponieważ użytkownik może przez cały czas korzystać z aplikacji bez świadomości, iż równolegle ktoś uzyskuje dostęp do treści rozmów.

Z technicznego punktu widzenia szyfrowanie pozostaje formalnie nienaruszone. Napastnik działa bowiem jako uwierzytelniony użytkownik albo jako autoryzowane urządzenie końcowe. To klasyczny przykład kompromitacji warstwy tożsamości, a nie złamania zabezpieczeń kryptograficznych samej platformy.

Konsekwencje / ryzyko

Skutki takiego incydentu mogą być poważne zarówno dla użytkowników indywidualnych, jak i organizacji. W przypadku kont wykorzystywanych służbowo zagrożenie wykracza poza utratę prywatności i obejmuje również ryzyka operacyjne, reputacyjne oraz strategiczne.

  • odczyt treści rozmów i danych kontaktowych,
  • prowadzenie dalszych kampanii phishingowych z wiarygodnego konta,
  • pozyskiwanie informacji politycznych, operacyjnych lub biznesowych,
  • mapowanie sieci zaufanych relacji ofiary,
  • utrudnienie komunikacji kryzysowej i reagowania na incydent,
  • długotrwała, trudna do wykrycia obecność w granicach legalnej sesji użytkownika.

Największe ryzyko wiąże się z tym, iż użytkownik może nie zauważyć kompromitacji od razu. o ile incydent ogranicza się do podpięcia dodatkowego urządzenia, poufność komunikacji może zostać naruszona bez widocznych objawów, co stwarza warunki do długoterminowego rozpoznania i dalszych etapów operacji.

Rekomendacje

Ochrona komunikatorów nie może ograniczać się do zaufania do szyfrowania. Równie istotne są procedury uwierzytelniania, kontrola urządzeń powiązanych oraz świadomość użytkowników. Organizacje i osoby prywatne powinny wdrożyć podstawowe, ale konsekwentnie stosowane środki ochrony.

  • nigdy nie udostępniać kodów weryfikacyjnych, PIN-ów ani danych 2FA w odpowiedzi na wiadomość,
  • weryfikować nietypowe komunikaty innym kanałem, najlepiej telefonicznie lub osobiście,
  • regularnie sprawdzać listę połączonych urządzeń i usuwać każde nieznane powiązanie,
  • włączyć wszystkie dostępne funkcje zabezpieczające aplikację,
  • aktualizować komunikatory i system operacyjny urządzenia,
  • szkolić użytkowników z rozpoznawania phishingu ukierunkowanego,
  • opracować procedury reagowania na incydenty dotyczące komunikatorów mobilnych,
  • ograniczać przesyłanie najbardziej wrażliwych danych wyłącznie do sytuacji uzasadnionych operacyjnie.

W organizacjach wysokiego ryzyka warto także okresowo przeglądać konta używane do komunikacji służbowej oraz formalnie określić, jakie informacje mogą być przekazywane przez aplikacje mobilne. Takie podejście zmniejsza skutki potencjalnego przejęcia konta i ułatwia szybką reakcję po wykryciu incydentu.

Podsumowanie

Ostrzeżenie FBI i CISA pokazuje, iż współczesne kampanie cyberszpiegowskie coraz częściej omijają kryptografię i koncentrują się na przejęciu zaufania użytkownika. W przypadku Signal i WhatsApp problemem nie jest złamanie szyfrowania, ale skuteczne wykorzystanie socjotechniki, procesu rejestracji oraz mechanizmu łączenia urządzeń.

Dla zespołów bezpieczeństwa to wyraźny sygnał, iż ochrona komunikacji wymaga szerszego podejścia niż sam wybór bezpiecznej aplikacji. najważniejsze stają się higiena uwierzytelniania, edukacja użytkowników, monitoring urządzeń powiązanych oraz gotowość do szybkiego reagowania na próby przejęcia kont.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/03/fbi-warns-russian-hackers-target-signal.html
  2. FBI IC3: Russian Intelligence Services Target Commercial Messaging Application Accounts — https://www.ic3.gov/PSA/2026/PSA260320
  3. Signal Support: Staying Safe from Phishing, Scams, and Impersonation — https://support.signal.org/hc/en-us/articles/9932566320410-Staying-Safe-from-Phishing-Scams-and-Impersonation
  4. Signal Support: How to protect yourself on Signal — https://support.signal.org/hc/en-us/articles/9932632052378-How-to-protect-yourself-on-Signal
  5. WhatsApp Help Center: How to link a device — https://faq.whatsapp.com/1317564962315842
Idź do oryginalnego materiału
  1. Strona główna
  2. Oszustwa
  3. FBI ostrzega przed phishingiem wymierzonym w Signal i WhatsApp

Powiązane

Nadużycie Microsoft Azure Monitor w kampaniach callback phishing

Nadużycie Microsoft Azure Monitor w kampaniach callback phis...

1 dzień temu
Iran przygotował zaplecze do cyberataków przed operacją „Epic Fury”

Iran przygotował zaplecze do cyberataków przed operacją „Epi...

3 dni temu
Naruszenie danych w Aura: phishing głosowy doprowadził do ujawnienia 900 tys. rekordów

Naruszenie danych w Aura: phishing głosowy doprowadził do uj...

3 dni temu
FortiGate, Citrix i phishing w Teams: cichy wzrost presji w krajobrazie zagrożeń

FortiGate, Citrix i phishing w Teams: cichy wzrost presji w ...

3 dni temu
Intuitive ujawnia naruszenie danych po ukierunkowanym ataku phishingowym

Intuitive ujawnia naruszenie danych po ukierunkowanym ataku ...

4 dni temu
Kampania szpiegowska SideWinder rozszerza działania w Azji Południowo-Wschodniej

Kampania szpiegowska SideWinder rozszerza działania w Azji P...

4 dni temu
Atak phishingowy na Outpost24: wieloetapowa kampania wykorzystała zaufane domeny i legalną infrastrukturę

Atak phishingowy na Outpost24: wieloetapowa kampania wykorzy...

5 dni temu
Najwięksi gracze technologiczni i handlowi łączą siły przeciw oszustwom internetowym

Najwięksi gracze technologiczni i handlowi łączą siły przeci...

5 dni temu

Polecane

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

Stopnie alarmowe w województwie łódzkim. Służby w gotowości

3 dni temu
Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mogą spać spokojnie

Fałszywe alarmy bombowe w polskich szkołach. Sprawcy nie mog...

5 dni temu
„Szpital 2026”. Wielkie ćwiczenia ratownicze i zarządzania kryzysowego na Podkarpaciu

„Szpital 2026”. Wielkie ćwiczenia ratownicze i zarządzania k...

1 tydzień temu
Sąd wojskowy w Moskwie wydał dziś wyroki w sprawie zamachu terrorystycznego w po…

Sąd wojskowy w Moskwie wydał dziś wyroki w sprawie zamachu t...

1 tydzień temu
Gubin. Ewakuacja mieszkańców, niewybuch znaleziony podczas remontu dachu

Gubin. Ewakuacja mieszkańców, niewybuch znaleziony podczas r...

1 tydzień temu
Ząbkowice Śl. Robotnicy odkryli groźny niewybuch z czasów II wojny światowej

Ząbkowice Śl. Robotnicy odkryli groźny niewybuch z czasów II...

2 tygodni temu
Drugi i trzeci stopień alarmowy w woj. łódzkim i całej Polsce! Służby w gotowości

Drugi i trzeci stopień alarmowy w woj. łódzkim i całej Polsc...

2 tygodni temu
Największa elektrownia w Polsce postawiona w stan gotowości. PGE reaguje na sytuację

Największa elektrownia w Polsce postawiona w stan gotowości....

2 tygodni temu
– Państwo azerskie stanowczo potępia ten haniebny akt terrorystyczny. Irańscy ur…

– Państwo azerskie stanowczo potępia ten haniebny akt terror...

2 tygodni temu