Huijarit tekeytyvät Signalin tueksi ja kalastelevat varmuuskopion palautusavainta – koko viestihistoria vaarassa
Salattukaan viestisovellus ei suojaa, jos käyttäjä luovuttaa itse avaimen. Uusi kalasteluaalto napsii nimenomaan varmuuskopion palautusavainta, joka avaa koko tallennetun keskusteluhistorian.
Tiivistelma
Malwarebytes varoittaa kampanjasta, jossa rikolliset esiintyvät Signalin tukena ja huijaavat käyttäjiä luovuttamaan varmuuskopion palautusavaimen. Avaimella hyökkääjä palauttaa uhrin viestiarkiston omalle laitteelleen ja pääsee lukemaan vanhat keskustelut. Päästä päähän -salaus ei auta, koska huijaus kohdistuu ihmiseen, ei salaukseen.
Moni suomalainen valitsee Signalin juuri siksi, että se on yksityisyyden kannalta turvallinen. Toimittajat, aktivistit ja luottamuksellista työtä tekevät luottavat siihen, että viestit pysyvät omina. Juuri tähän luottamukseen uusi kalastelukampanja iskee.
Malwarebytes varoittaa, että rikolliset tekeytyvät nyt Signalin tueksi ja yrittävät saada käyttäjät luovuttamaan varmuuskopion palautusavaimen. Tämä avain ei ole salasana. Sen avulla uhrin koko viestiarkisto voidaan palauttaa hyökkääjän omalle laitteelle.
Houkutin nojaa tuttuun tukinäytelmään. Viesti väittää, että tili pitää vahvistaa tai pääsy palauttaa, ja pyytää käyttäjää syöttämään avaimen jollekin sivulle.
Tähän mennessä monet kalastelut ovat kohdistuneet salasanoihin ja kertakoodeihin. Tässä kampanjassa kohde on toinen. Koska palautusavain palauttaa varmuuskopiot uudelle laitteelle, sen luovuttaminen paljastaa myös vanhat keskustelut, ei pelkästään tulevia viestejä. Yksi koodi avaa koko arkiston.
Varmuuskopion palautuskoodi (palautuslauseke)
Salainen koodi eli palautuslauseke, jolla Signal-tilin ja viestihistorian palauttaa uuteen laitteeseen. Kuka tahansa koodin haltija voi palauttaa arkistosi omalle laitteelleen ja lukea vanhat keskustelusi.
Tässä piilee koko kampanjan oivallus. Päästä päähän -salaus suojaa viestit matkalla laitteelta toiselle, mutta se ei suojaa käyttäjää itseään. Ihminen on heikoin lenkki. Kun huijari saa ihmisen luovuttamaan avaimen vapaaehtoisesti, salaus kierretään ihan kokonaan.
Tekninen suojaus on usein vahvempi kuin sitä käyttävä ihminen. Rikolliset tietävät tämän hyvin, joten he eivät hyökkää matematiikkaa vaan luottamusta vastaan. Sama logiikka toistuu pankki- ja sähköpostikalasteluissa, mutta tässä saaliina on poikkeuksellisen arka kohde eli yksityinen viestiarkisto.
– Hyökkääjät eivät yritä murtaa salausta vaan huijata käyttäjän luovuttamaan avaimensa, Malwarebytes kertoo.
Miksi suomalaisen yksityisyydestään tarkan lukijan pitäisi välittää? Koska kohde on juuri se, joka uskoo olevansa turvassa. Signalin valitsee usein ihminen, jolla on jotain suojeltavaa, ja sama ihminen voi olla varomattomin, kun viesti näyttää tulevan luotetulta sovellukselta.
Suomessa Signalia käytetään laajasti juuri herkimmässä viestinnässä. Lähdesuojattu toimittajan keskustelu tai arkaluontoinen työasia ei katoa minnekään, vaikka puhelin vaihtuisi. Sama varmuuskopio, joka pelastaa historian uuteen laitteeseen, kääntyy aseeksi, jos avain päätyy vääriin käsiin.
Tunnistusmerkit
- Pyytämätön yhteydenotto "Signalin tuelta". Signal ei lähetä sinulle yksityisviestiä ja pyydä koodeja tai avaimia.
- Mikä tahansa pyyntö luovuttaa palautusavain, PIN-koodi tai varmuuskopion salalause.
- Kiire ja painostus. Viesti väittää tilin olevan vaarassa, jos et toimi heti.
- Linkki kirjautumis- tai "vahvistussivulle".
Mitä tehdä
- Älä koskaan jaa palautusavainta, PIN-koodia tai varmuuskopion salalausetta kenellekään. Signalin aito tuki ei niitä koskaan kysy.
- Ota Signalin rekisteröintilukko ja PIN käyttöön. Säilytä palautusavain offline-muodossa, esimerkiksi paperilla.
- Jos syötit avaimen jonnekin, vaihda PIN-koodi, rekisteröi sovellus uudelleen ja tarkista linkitetyt laitteet.
- Ilmoita kalastelusta Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi.
Opetus on epämukava mutta hyödyllinen. Vahvinkin salaus on juuri niin turvallinen kuin sen takana oleva ihminen. Kun seuraavan kerran joku "tuki" pyytää avaintasi, vastaus on aina sama – aito palvelu ei sitä pyydä, ainakaan vielä.