Làn sóng lừa đảo mới nhắm vào người dùng Signal nhằm đánh cắp khóa khôi phục bản sao lưu

Tin tặc đang nhắm vào người dùng Signal trong một nỗ lực đánh cắp các bản sao lưu trò chuyện của họ như một phần của chiến dịch tấn công mới, theo thông tin từ TechCrunch.

Vào thứ Tư, nhà phân tích của The Washington Post, Josh Rogin, đã đăng tải một hình ảnh chụp màn hình về một loại tấn công mới nhằm vào người dùng Signal. Trong đó, tin tặc giả làm đội ngũ hỗ trợ của ứng dụng và cảnh báo mục tiêu rằng các cuộc trò chuyện và phương tiện đã sao lưu của họ đang "có nguy cơ bị mất vĩnh viễn do lỗi đồng bộ". Để tránh điều này, tin nhắn yêu cầu mục tiêu cần chia sẻ khóa khôi phục (recovery key) được sử dụng để truy cập bản sao lưu trực tuyến của họ cho tin tặc.

"Hành động này liên kết bản sao lưu hiện có của bạn với tài khoản của bạn. Nếu không thực hiện việc này, bạn có thể mất quyền truy cập vào tài khoản và tất cả dữ liệu đã lưu trữ," tin nhắn được cho là từ tài khoản có tên Signal Support viết.

Rogin cho biết một số nhà hoạt động chống Đảng Cộng sản Trung Quốc đã nhận được tin nhắn độc hại này.

Mohammed Al-Maskati, giám đốc tại Đường dây nóng An ninh kỹ thuật số (Digital Security Helpline) của Access Now - tổ chức điều tra các cuộc tấn công mạng nhằm vào các nhà báo, người bất đồng chính kiến và nhà hoạt động nhân quyền - đã chia sẻ với TechCrunch rằng hai người đã gửi cho ông tin nhắn tương tự. Al-Maskati cho biết hai người này không phải là nhà hoạt động người Trung Quốc. Điều này gợi ý rằng chiến dịch tấn công này có thể lan rộng hơn và nhắm vào các cộng đồng khác, hoặc có thể có các nhóm tin tặc khác nhau đang sử dụng cùng một chiến thuật.

Hiện vẫn chưa rõ hiệu quả của chiến dịch tấn công này đến đâu. Al-Maskati cho biết việc đánh cắp khóa khôi phục của nạn nhân cho bản sao lưu trò chuyện chỉ là một bước trong cuộc tấn công, và tin tặc vẫn phải chiếm đoạt tài khoản của nạn nhân.

Về cơ bản, loại tấn công này dựa vào việc lừa đảo (phishing) mục tiêu, tức là trick họ chia sẻ một số thông tin quan trọng và riêng tư với tin tặc. Trong trường hợp cụ thể này, tin tặc giả làm đội ngũ hỗ trợ của Signal để khai thác lòng tin của mục tiêu vào ứng dụng và tổ chức đứng sau nó.

Tại sao cuộc tấn công này nguy hiểm?

Điều quan trọng cần lưu ý là Signal khẳng định họ "sẽ không bao giờ chủ động liên hệ" với người dùng trước, và sẽ không bao giờ yêu cầu mã đăng ký, PIN hoặc khóa khôi phục. Điều đó có nghĩa là bất kỳ cuộc trò chuyện nào giả mạo đến từ "Signal Support" thực chất đều đến từ tin tặc độc hại. Tổ chức này đã từng công khai cảnh báo về loại tấn công chính xác này vào tháng trước.

Mặc dù đã có một số chiến dịch tin tặc mạo danh hỗ trợ của Signal trong những tháng gần đây, nhưng đây là một loại tấn công mới vì nó nhắm cụ thể vào các bản sao lưu, có thể chứa các tin nhắn cũ, ảnh và tài liệu của nạn nhân.

Các chiến dịch tấn công trước đây nhắm vào người dùng Signal thường cố gắng chiếm đoạt tài khoản của nạn nhân và sau đó mạo danh họ, thường với mục tiêu tiềm năng là đánh cắp danh bạ của nạn nhân hoặc bắt đầu các cuộc trò chuyện với người khác như thể họ là chủ tài khoản. Trong những trường hợp đó, tin tặc không thể truy cập vào các tin nhắn cũ, vì các cuộc tấn công dựa vào việc họ đăng ký lại tài khoản của nạn nhân trên một thiết bị do họ kiểm soát. Do cách thiết kế của Signal, các tin nhắn cũ sẽ không xuất hiện trên thiết bị mới.

Tin tặc có thể chiếm đoạt tài khoản Signal bằng cách cướp số điện thoại của ai đó, ví dụ như vậy. Tuy nhiên, Signal cung cấp các tính năng bảo mật tùy chọn để chống lại cuộc tấn công đó, chẳng hạn như Khóa đăng ký (Registration Lock), ngăn chặn tin tặc liên kết số điện thoại của mục tiêu với thiết bị mới trừ khi họ đánh cắp PIN của mục tiêu.

Trong kịch bản đó, một cách để xem các tin nhắn cũ hơn là truy cập vào bản sao lưu trực tuyến của nạn nhân, điều này yêu cầu phải có khóa khôi phục.

Năm ngoái, Signal đã ra mắt tính năng Sao lưu an toàn (Secure Backups), một tính năng tùy chọn cho phép người dùng tải nội dung tài khoản của họ lên máy chủ của Signal. Các dữ liệu này được mã hóa bằng khóa khôi phục mà tổ chức cho biết "không bao giờ được chia sẻ với máy chủ của Signal" và "không bao giờ rời khỏi" thiết bị của người dùng. Signal khuyên người dùng nên lưu trữ khóa khôi phục một cách an toàn trong sổ tay hoặc bên trong trình quản lý mật khẩu.

"Nếu không có khóa khôi phục duy nhất của bạn, không ai (bao gồm cả Signal) có thể đọc, giải mã hoặc khôi phục bất kỳ dữ liệu nào trong Kho lưu trữ Bản sao lưu An toàn của bạn," Signal tuyên bố.

Điều đó có nghĩa là chỉ người dùng mới có thể truy cập vào kho lưu trữ của họ trong trường hợp họ đăng ký tài khoản trên điện thoại mới, tải bản sao lưu đã mã hóa từ máy chủ của Signal xuống, sau đó giải mã nó bằng khóa khôi phục.

Signal chưa phản hồi yêu cầu bình luận về vấn đề này.