A Google Threat Intelligence Group (GTIG) 2025. február 19-én kiadott jelentése szerint megnövekedett a Signal felhasználói fiókok megszerzésére irányuló kampányok száma az Oroszországhoz köthető kiberbűnözői csoportok körében. Az utóbbi időben egy olyan támadási módszer terjedt el, amely a Signal üzenetküldő alkalmazás eszköztársító („Linked Devices”) funkcióját használja ki.
Hogyan működik a támadás?
A támadók megtévesztő üzenetekkel terjesztenek kártékony QR-kódokat, amelyek beolvasásával az áldozatok tudtukon kívül társítják a támadók eszközét a Signal-fiókjukhoz.
A módszer különösen kockázatos, mivel a támadók célzott kampányokat alkalmaznak, amelyek során a megtévesztő üzeneteket úgy állítják össze, hogy azok hitelesnek tűnjenek a célcsoport számára. Egyes esetekben a fertőzött linket tartalmazó QR-kódot egy Signal-csoport meghívójának álcázva küldik el, ezzel növelve az áldozatok megtévesztésének valószínűségét. Továbbá előfordult, hogy a csalók egy eredeti Signal-csoport meghívó linkjét módosították oly módon, hogy a manipulált hivatkozás egy kártékony URL-re irányítsa a felhasználót, amely létrehozta a kapcsolatot a támadók eszköze és az érintett fiókja között.
Ennek eredményeként a támadók teljes hozzáférést szereznek az üzenetváltásokhoz.
Miért veszélyes?
• A támadók célzott kampányokat folytatnak, hitelesnek tűnő üzenetekkel.
• A QR-kódokat gyakran Signal-csoport meghívónak álcázzák.
• Manipulált linkekkel is terjesztik a támadást.
Mit tehetünk ellene?
• Csak megbízható forrásból származó QR-kódokat olvassunk be.
• Ellenőrizzük a csoportmeghívó linkek forrását.
• Figyeljünk az eszközökhöz társított fiókjainkra.
Informatikai Biztonsági Központ
Incidensbejelentés: ibk@unideb.hu, ibk.helpdesk@unideb.hu