L’Ufficio federale tedesco per la protezione della Costituzione e l’Ufficio federale per la sicurezza delle informazioni hanno avvertito che attori legati a stati stanno prendendo di mira account di alto profilo su Signal, il servizio di messaggistica criptata. I risultati provengono da un rapporto congiunto delle due autorità di sicurezza tedesche sulle minacce contro figure politiche, giornalisti, attivisti e altre persone a contatto con il pubblico.
Le agenzie hanno dichiarato che gli aggressori stanno cercando di accedere agli account manipolando i processi di autenticazione invece di violare la crittografia di Signal. I metodi segnalati includono messaggi di phishing, social engineering e tentativi di ingannare gli utenti affinché condividano codici di registrazione o verifica collegati ai loro account.
Secondo le autorità tedesche, alcuni attacchi coinvolgono messaggi o chiamate false che sembrano provenire da contatti o fornitori di servizi affidabili. Questi messaggi chiedono ai bersagli di fornire codici sensibili al tempo o di seguire le istruzioni di accesso. Se un codice viene condiviso, gli aggressori possono registrare il numero di telefono della vittima su un altro dispositivo e prendere il controllo dell’account.
Il rapporto afferma che queste campagne si concentrano su individui le cui comunicazioni possono avere valore politico o informativo. I bersagli includono persone coinvolte nel governo, nei media, nella società civile e negli affari internazionali. Le agenzie non hanno nominato pubblicamente le vittime specifiche.
Signal utilizza la crittografia end-to-end in modo che i messaggi possano essere letti solo dal mittente e dal destinatario. Le autorità tedesche hanno affermato che gli attacchi osservati non violano questa crittografia, ma sfruttano invece le funzionalità di fiducia degli utenti e di recupero degli account. In questo modello, il punto più debole è la gestione delle credenziali di autenticazione.
L’Ufficio Federale per la Sicurezza Informatica ha consigliato agli utenti di trattare i codici di verifica come riservati e di non condividerli con nessuno. Raccomandava inoltre di abilitare una sicurezza aggiuntiva dei dispositivi, come blocchi dello schermo, e di mantenere aggiornato il software. L’Ufficio Federale per la Protezione della Costituzione ha affermato che la consapevolezza delle tattiche di ingegneria sociale è importante per le persone in ruoli sensibili.
Le agenzie hanno descritto l’attività come parte di più ampi sforzi cibernetici e di intelligence da parte di attori statali stranieri. Hanno detto che tali operazioni spesso combinano metodi tecnici e psicologici per accedere alle comunicazioni.
Non sono state segnalate debolezze nella crittografia principale di Signal in relazione a questi incidenti. L’avviso si concentra sulla compromessa a livello di account tramite inganno piuttosto che sulle falle nel protocollo di messaggistica.