Het National Cyber Security Centre van het Verenigd Koninkrijk, de overheidsinstantie die verantwoordelijk is voor cyberbeveiligingsrichtlijnen, heeft een warning campagne uitgegeven over een campagne gericht op gebruikersaccounts op berichtenplatforms zoals WhatsApp en Signal, volgens een officieel advies.
De activiteit richt zich op het verkrijgen van toegang tot accounts via social engineering-technieken in plaats van technische kwetsbaarheden in de platforms uit te buiten. Aanvallers proberen inloggegevens te verkrijgen, waaronder eenmalige verificatiecodes die tijdens het accountauthenticatieproces worden gebruikt.
De campagne omvat imitatie-tactieken, waarbij dreigingsactoren zich voordoen als vertrouwde contacten of legitieme dienstverleners. Berichten zijn bedoeld om individuen te overtuigen gevoelige informatie te delen die gebruikt kan worden om controle over hun accounts te krijgen. Zodra de vereiste inloggegevens zijn verkregen, kunnen aanvallers hun eigen apparaten registreren en de toegang behouden zonder verdere interactie van de accounthouder.
De doelwitten zijn onder andere personen die werken in de overheid, defensie, journalistiek en het maatschappelijk middenveld. Het National Cyber Security Centre heeft de activiteiten gekoppeld aan dreigingsactoren die met Rusland zijn geassocieerd, op basis van bevindingen in het advies. De waarschuwing geldt voor personen die mogelijk van belang zijn voor degenen die de campagne voeren.
Toegang tot gecompromitteerde accounts stelt aanvallers in staat privéberichten te lezen, contactlijsten te verzamelen en berichten naar andere gebruikers te sturen terwijl ze als legitieme accounthouder verschijnen. Deze toegang kan ook worden gebruikt om de campagne uit te breiden door extra personen die aan het slachtoffer verbonden zijn te targeten en bestaande gesprekken te gebruiken om de geloofwaardigheid te vergroten.
Het advies stelt dat de encryptie die WhatsApp en Signal gebruiken niet is gekraakt. De aanvallen zijn gebaseerd op gebruikersinteractie en diefstal van inloggegevens in plaats van zwaktes in de berichtplatforms zelf.
Gebruikers wordt geadviseerd om verificatiecodes niet te delen, gekoppelde apparaten die aan hun accounts zijn gekoppeld te bekijken en extra beveiligingsfuncties in te schakelen waar beschikbaar. Het National Cyber Security Centre adviseert ook om betaalrekeningactiviteiten te activeren voor onbekende sessies en ervoor te zorgen dat authenticatie-instellingen correct zijn ingesteld om het risico op ongeautoriseerde toegang te verminderen.