[email protected] +374 55 22 88 11
Անվտանգություն

Տեխնիկական վերլուծություն․ Signal-ի հաշիվների զավթման ֆիշինգային արշավ

23 Սպտ 2025

Անհայտ հաքերը (կամ հաքերային խումբը) ներկայումս Signal-ում ֆիշինգային արշավ է իրականացնում, որի նպատակն է գողանալ  օգտահաշիվները։ Գրոհի հիմքում սոցիալական ինժեներիան է՝ խաբեությունը, որի հիմքում մարդկային գործոնն է։ Չարագործը ներկայանում է որպես «Signal-ի աջակցման ծառայություն»՝ թիրախներին մոլորեցնելով և ստիպելով տրամադրել իրենց 6-նիշանոց գրանցման ստուգման կոդը։ Հաջող գրոհը թույլ է տալիս զավթել հաշիվը միայն այն դեպքում, եթե թիրախի «Գրանցման արգելքը» (Registration Lock) անջատված է։

Active Phishing Campaign on Signal

Գրոհի վերլուծություն և TTP-ներ (մարտավարություն, տեխնիկա և ընթացակարգեր)

Գրոհն ընթանում է հստակ, բազմափուլ գործընթացով․

  • Նախնական կապ (T1566.002 — Նպատակային ֆիշինգային հաղորդագրություն): Թիրախը հաղորդագրություն է ստանում անհայտ համարից, որի պրոֆիլի անունը «Signal Support» է կամ դրա որևէ տարբերակ։ Հաղորդագրության տեքստում ասվում է, որ տվյալ օգտահաշվում հայտնաբերվել է «կասկածելի ակտիվություն»՝ օգտատիրոջ մոտ հրահրելով տագնապի և հրատապության զգացում։
  • Սոցիալական ինժեներիա (T1598 — Տեղեկատվության համար ֆիշինգ): Գրոհի հիմքը օգտատիրոջը մոլորեցնելն է։ Չարագործը հրահանգում է թիրախին սպասել ստուգման կոդի։ Միևնույն ժամանակ, չարագործը թիրախի հեռախոսահամարով Signal-ի գրանցման գործընթաց է սկսում իր ձեռքի տակ եղած սարքի վրա։ Այս գործողությունը ստիպում է Signal-ի  համակարգին 6-նիշանոց միանգամյա օգտագործման վավեր կոդ (OTP) ուղարկել թիրախի սարքին։
  • Հավատարմագրերի (credentials) հավաքագրում: Այնուհետև չարագործը թիրախից պահանջում է տրամադրել այդ OTP-ն զրույցի ընթացքում։ Մեր վերլուծությունը, որի ընթացքում մենք միտումնավոր սխալ կոդեր ենք տրամադրել, ցույց տվեց, որ չարագործի գործընթացը, հավանաբար, սկրիպտավորված։ Չարագործի պատասխանը պարզ կրկնություն էր՝ շարունակաբար նշելով, որ կոդը «անվավեր է» և պահանջելով ճիշտ կոդը։
The attacker instructs the target to provide the verification code.  

The attacker enters into a loop, continously asking for the code.
The attacker enters into a loop, continously asking for the code.

Ցուցիչներ և հայտնաբերում

Հարձակումը հայտնաբերելու համար անհրաժեշտ է ճանաչել հետևյալ ազդակները.

  • Աղբյուրը. Չսպասված և չպահանջված հաղորդագրություն, որը ներկայանում է որպես «Signal-ի աջակցման ծառայություն»։ Signal-ը երբեք ուղիղ հաղորդագրությունների միջոցով աջակցման կապ չի նախաձեռնում։
  • Բովանդակություն: Ցանկացած հաղորդագրություն, որը պահանջում է գրանցման կոդ։ Սրանք միայն օգտատիրոջ համար նախատեսված գաղտնիքներ են՝ գրանցման կամ նոր սարքի վրա վերատեղադրման գործընթացի համար։
  • Signal-ի հավելվածի նախազգուշացումներ: Հավելվածն ինքը նախազգուշացնում է, որ հաղորդագրությունը ստացվել է անհայտ կոնտակտից։ Այս նախազգուշացումը պետք է դիտարկել որպես բարձր առաջնահերթության ահազանգ։

Հարձակման հետևնանքերի հաղթահարում

Եթե Signal օգտահաշվի անվտանգության կարգավորումները լիարժեք միացված են, հարձակումը կձախողվի։ Մասնավորապես.

  • Առաջնային հակազդեցություն՝ Գրանցման արգելափակում Սա ամենակարևոր պաշտպանությունն է։ «Գրանցման արգելափակումը» միացնելու դեպքում հեռախոսահամարը նոր սարքի վրա վերագրանցելիս պահանջվում է օգտատիրոջ կողմից ստեղծված PIN կոդ։ Սա թույլ չի տա վավեր OTP ունեցող չարագործին ավարտին հասցնել հաշվի զավթումը, նույնիսկ եթե օգտատերը սխալվել ու տրամադրել է SMS֊ով ստացված մեկանգամյա կոդը։
    • Ինչպես ակտիվացնել՝ Signal Settings > Account > Registration Lock > Enable
  • Օգտատերերի իրազեկում
    • Բոլոր գրանցման կոդերը/OTP-ները դիտարկե՛ք որպես զգայուն տվյալներ։ Դրանք նախատեսված են միայն հավելվածում մուտքագրելու, ոչ երբեք երրորդ կողմին տրամադրելու համար։
    • Մի՛ վստահեք չպահանջված մուտքային հաղորդագրություններին՝ անկախ ուղարկողի երևացող անունից։

Արձագանքում միջադեպին

  • Եթե թիրախավորվել եք. Մի՛ արձագանքեք։ Անմիջապես օգտագործե՛ք հավելվածի «Արգելափակել» և «Հայտնել խախտման մասին» գործառույթները։
  • Եթե OTP-ն տրամադրվել է («Գրանցման արգելափակումը» անջատված է): Հաշիվը խոցելի է։ Օգտատերը պետք է անմիջապես վերագրանցի իր Signal-ի հաշիվը իր հիմնական սարքի վրա։ Սա կչեղարկի չարագործի ակտիվ գրանցման գործընթացը։ Վերահսկողությունը վերականգնելուց հետո անմիջապես միացրե՛ք «Գրանցման արգելափակումը»։
  • Եթե OTP-ն տրամադրվել է («Գրանցման կողպեքը» միացված է): Դուք, ամենայն հավանականությամբ, ապահով եք։ Չարագործը չի կարող ավարտին հասցնել զավթումը առանց PIN կոդի։ Արգելափակե՛ք հարձակվողին և Signal֊ին հայտնե՛ք ուղարկողի մասին՝ օգտագործելով համապատասխան կոճակը։
  • Եթե տրամադրել եք OTP-ն, և չարագործը հաջողությամբ գրանցվել է (այսինքն՝ «Գրանցման կողպեքն» անջատված է եղել), իսկ հետո փոխել է ձեր PIN կոդը։ Ձեր հաշիվը վտանգված է։ Չարագործը կարող է փոխել ձեր PIN-ը և ձեզ արգելափակել։
    1. Փորձե՛ք անմիջապես վերագրանցվել՝ չարագործից առաջ ընկնելու համար։ Եթե նա դեռ չի հասցրել փոխել PIN-ը, հնարավոր է՝ կարողանաք վերականգնել վերահսկողությունը։
    2. Եթե դուք արգելափակված եք, պետք է այլընտրանքային կապի միջոցներով (էլ․ փոստ, զանգ, այլ մեսենջեր) զգուշացնեք ձեր կոնտակտներին, որ ձեր Signal-ի հաշիվը վտանգված է, և նրանք չպետք է վստահեն դրանից եկող որևէ հաղորդագրության։
    3. Հետագա ուղղորդման համար կապվե՛ք Signal-ի պաշտոնական աջակցման թիմի հետ՝ նրանց կայքի միջոցով։