Signal heeft nieuwe beveiligingswaarschuwingen en bevestigingsprompts in de app geïntroduceerd die gebruikers beschermen tegen phishing- en social engineering-aanvallen gericht op het versleutelde berichtenplatform.
De veranderingen volgen op een golf van aanvallen gericht op politici, journalisten, diplomaten en militaire functionarissen in Europa, met name Duitsland, waarbij dreigingsactoren zich voordeden als Signal-ondersteuningspersoneel om accounts te kapen.
De nieuwe beveiligingen van Signal zorgen voor extra wrijving wanneer gebruikers berichten ontvangen van onbekende contacten of proberen te communiceren met verdachte profielen. De app zal nu sterkere waarschuwingsberichten en aanvullende bevestigingen tonen, bedoeld om gebruikers meer tijd te geven om te beoordelen of een verzoek legitiem is voordat ze reageren.
Signal-president Meredith Whittaker zei dat de aanvallen geen kwetsbaarheden in de encryptie of broncode van Signal betroffen. In plaats daarvan vertrouwden aanvallers op social engineering-tactieken om gebruikers te manipuleren zodat ze verificatiecodes, pincodes of hun accounts koppelden aan door aanvallers gecontroleerde apparaten.
Een veelgerapporteerde techniek betrof aanvallers die zich voordeden als “Signal Support”-accounts en berichten stuurden waarin werd beweerd dat er een beveiligingsprobleem was dat onmiddellijke actie vereiste. Slachtoffers kregen vervolgens de instructie QR-codes te scannen of authenticatiegegevens te verstrekken waarmee aanvallers op afstand toegang konden krijgen tot hun accounts.
Als reactie hierop maakt Signal het nu moeilijker om per ongeluk onbekende contacten te vertrouwen. Het bedrijf zei dat het accepteren van nieuwe berichtverzoeken van onbekende nummers niet langer met één tik zal plaatsvinden, maar in plaats daarvan duidelijkere waarschuwingsmeldingen zal veroorzaken.
De app breidde ook educatieve berichten uit en herinnerde gebruikers eraan dat Signal-medewerkers hen nooit rechtstreeks via chats zullen bereiken om pincodes, verificatiecodes, encryptiesleutels of accountgegevens op te vragen.
Duitse inlichtingendiensten waarschuwden eerder dat de phishingcampagne waarschijnlijk verband hield met door de staat gesponsorde dreigingsactoren. Onderzoekers zeiden dat aanvallers zich richtten op hooggeplaatste personen die legitieme Signal-functies gebruikten in plaats van malware of software-exploits.
De autoriteiten waarschuwden dat zodra aanvallers toegang kregen tot accounts, ze privégesprekken konden lezen, groepschats konden monitoren, contactlijsten konden bekijken en zich konden voordoen als slachtoffers bij aanvullende aanvallen.
Signal-gebruikers worden aangemoedigd om Registratieslot in te schakelen, gekoppelde apparaten regelmatig te bekijken en te vermijden interactie met onverwachte supportgerelateerde berichten of QR-codes. Beveiligingsexperts raden ook aan om verzoeken via aparte communicatiekanalen te verifiëren voordat authenticatiegegevens worden gedeeld.