В Cert.lv поясняют, что ключ восстановления резервной копии представляет собой секретную комбинацию из 64 символов (букв и цифр), которая генерируется на телефоне при включении функции создания зашифрованных резервных копий в Signal. Этот ключ является единственным способом восстановить резервную копию.
По данным учреждения, пользователь получает поддельное сообщение якобы от службы поддержки Signal о якобы обязательном введении двухфакторной аутентификации или об обновлении условий использования и политики конфиденциальности приложения. В сообщении утверждается, что в противном случае существует риск потери данных, после чего приводится подробная инструкция, как якобы избежать утраты переписки и мультимедийных файлов.
Пользователю предлагают выполнить ряд действий: открыть раздел «Настройки», выбрать «Резервные копии», нажать «Настроить», включить резервное копирование, просмотреть ключ восстановления, скопировать его в буфер обмена, ввести ключ восстановления, выбрать план резервного копирования, нажать кнопку «Подтвердить» в появившемся окне и следить за обновлениями безопасности в приложении. Хотя создание резервной копии само по себе является правильным действием, ключом восстановления резервной копии нельзя делиться ни с кем.
После выполнения этих действий сообщения Signal сохраняются с помощью функции защищенного резервного копирования, которая хранит зашифрованные копии в облачных серверах Signal. Все данные шифруются с использованием созданного ранее ключа восстановления.
В Cert.lv отмечают, что затем злоумышленники отправляют второе сообщение, продолжая выдавать себя за службу поддержки Signal. В нем предупреждают, что из-за процесса синхронизации может произойти необратимая потеря данных, и предлагают открыть настройки резервных копий, скопировать ключ восстановления, вставить его в сообщение и отправить якобы для предотвращения потери информации. Как только пользователь передает ключ восстановления, мошенники получают возможность восстановить резервную копию аккаунта на своих устройствах и получить доступ ко всей переписке, включая личные и групповые чаты.
Вместе с тем Cert.lv подчеркивает, что если злоумышленник уже получил ключ восстановления резервной копии, создание нового аккаунта Signal с тем же номером телефона не делает украденный ключ недействительным. Чтобы лишить его силы, необходимо создать новый ключ восстановления, изменив настройки резервного копирования в Signal. При этом создание нового ключа не помешает злоумышленникам получить доступ к тем резервным копиям, которые уже были скачаны с использованием скомпрометированного ключа.
В Cert.lv напоминают, что никогда и никому нельзя сообщать ключ восстановления резервной копии, код подтверждения или PIN-код. Служба поддержки Signal никогда не запрашивает такую информацию.
Также учреждение рекомендует открыть раздел «Настройки», проверить пункт «Связанные устройства» и удалить все устройства, которые пользователь не узнает.
Если пользователь считает, что уже раскрыл свой ключ восстановления, необходимо немедленно создать новый ключ в настройках Signal и исходить из того, что любая ранее созданная резервная копия могла стать доступной посторонним лицам.
Cert.lv является структурным подразделением Института математики и информатики Латвийского университета и действует под надзором Министерства обороны в соответствии с Законом о национальной кибербезопасности. В задачи учреждения входит мониторинг событий в национальном киберпространстве, оказание помощи в устранении инцидентов информационной безопасности в латвийском сегменте IP-адресов и доменной зоне .lv.











