Signal indfører nye advarsler mod phishing og social engineering
Den krypterede beskedtjeneste Signal har indført nye sikkerhedsadvarsler og bekræftelsesmekanismer i appen for at beskytte brugere mod phishing og social engineering‑angreb. Tiltagene skal gøre det sværere for angribere at narre brugere til at give adgang til deres konti – især i angreb rettet mod profiler med høj synlighed.
Det skriver Bleeping Computer.
Signal er en gratis, open source‑baseret beskedapp, der anvender ende‑til‑ende‑kryptering til beskeder og opkald. Tjenesten anvendes bredt af journalister, aktivister, myndigheder og andre brugere med behov for fortrolig kommunikation, og dens sikkerhedsmodel bygger på, at Signal selv ikke har adgang til indholdet af brugernes kommunikation.
Misbrug af tillidsfunktioner
Baggrunden for de nye tiltag er en række målrettede angreb, hvor brugere er blevet kontaktet med falske beskeder, der udgiver sig for at komme fra “Signal Support”. Ifølge både FBI samt hollandske og tyske myndigheder er flere af disse hændelser blevet tilskrevet russisk statsstøttede trusselsaktører.
Angrebene har udnyttet Signals Linked Device-funktion, som gør det muligt at forbinde flere enheder til samme konto. Ved at overtale offeret til at scanne en QR‑kode eller dele engangskoder – angiveligt som led i en kontosikring – har angriberne kunnet tilføje deres egen enhed til offerets konto. Dermed har de fået adgang til beskeder, kontakter og løbende kommunikation.
Mere friktion i brugeroplevelsen
Signal oplyser, at formålet med de nye ændringer er at indbygge nok friktion til, at brugeren får tid og kontekst til at vurdere, om en henvendelse er legitim.
”For at hjælpe Signal‑brugere med at beskytte sig mod phishing og social engineering har vi indført yderligere bekræftelser og forklarende beskeder i appen, som skal gøre det lettere at opdage svindel – særligt beskedanmodninger fra profiler, der udgiver sig for at være Signal,” skriver virksomheden.
Nye sikkerhedsadvarsler i praksis
De nye beskyttelsesmekanismer omfatter blandt andet:
- En tydelig markering med “Name not verified” under kontakter, der tager direkte kontakt uden forudgående relation
- En angivelse af “No groups in common”, som gør opmærksom på manglende fælles grupper
- Ekstra bekræftelse ved nye beskedanmodninger, ledsaget af en påmindelse om, at Signal aldrig beder om registreringskoder, PIN‑koder eller recovery keys
- Udvidede sikkerhedstips direkte i appen
- Gentagne advarsler mod beskeder, der udgiver sig for at komme fra Signal Support
Tiltagene skal især gøre det vanskeligere at gennemføre angreb, hvor tillid og hastværk udnyttes til at omgå tekniske sikkerhedsforanstaltninger.
Social engineering fortsat effektivt
Ifølge Signal understreger hændelserne, at social engineering fortsat er en af de mest effektive angrebsformer, fordi den omgår tekniske kontroller ved at udnytte menneskelig adfærd. Selv i systemer med stærk kryptering kan konti kompromitteres, hvis brugeren narres til at give adgang.
Signal opfordrer derfor brugere til at være særligt opmærksomme på uopfordrede beskeder, anmodninger om QR‑scanning eller deling af koder samt til løbende at kontrollere, hvilke enheder der er tilknyttet kontoen. Ukendte eller mistænkelige enheder bør fjernes direkte i appens indstillinger.