È stata rilevata una campagna di phishing a tema “Signal” finalizzata alla compromissione degli account degli utenti. L’obiettivo degli attaccanti è carpire informazioni sensibili sfruttando tecniche di ingegneria sociale e inducendo le vittime a seguire una falsa procedura di verifica dell’account.

La campagna viene veicolata tramite un messaggio proveniente da un account che si presenta come “Signal Support”, simulando un servizio di assistenza ufficiale della piattaforma. In realtà, si tratta di un account fraudolento che imita una funzionalità di supporto interna all’applicazione.

Qualora la vittima dia seguito alla comunicazione, l’attaccante fornisce una serie di istruzioni da eseguire in maniera sequenziale:

  1. fornire il codice di sicurezza (PIN) dell’applicazione Signal creato durante le prime fasi di registrazione;
  2. fornire il codice di verifica OTP che riceverà via SMS dal presunto supporto Signal;
  3. attendere qualche minuto a seguito della ricezione del messaggio di disconnessione del proprio account;
  4. procedere alla riconnessione del proprio account accedendo nuovamente all’applicazione, validando il proprio numero di telefono e inserendo nuovamente il PIN di sicurezza di Signal.

In questo frangente temporale l’attaccante in realtà registra su un proprio dispositivo l’account della vittima, utilizzando il OTP e il PIN forniti, ottenendo così il pieno controllo dell’account.

Una volta ottenuto l’accesso all’account, l’attaccante riesce a entrare nei gruppi di cui la vittima fa parte, ad acquisire i contatti degli altri utenti presenti e a ricevere tutti i nuovi messaggi scambiati da quel momento in poi. Per rendere definitivo il furto, utilizza poi la funzione di cambio numero sostituendo quello della vittima con il proprio, così da restare stabilmente nei gruppi compromessi e poter estendere ulteriormente l’attacco ad altri utenti. Successivamente guida la vittima a creare un nuovo account che, non essendo più collegato ai gruppi precedenti, dovrà essere nuovamente aggiunto, facilitando così la propagazione della truffa.

 Il CSIRT Italia invita gli utenti e le organizzazioni a verificare scrupolosamente le comunicazioni ricevute e attivare le seguenti misure aggiuntive:

  • evitare di dare seguito a messaggi provenienti da profili che fingono di essere di tipo supporto tecnico: Signal non ha un servizio clienti che opera tramite chat private. Non esistono “Amministratori Signal” che contattano direttamente l’utenza;
  • non fornire codici OTP via chat/SMS/link etc nemmeno quando richiesti da account fidati: il codice a 6 cifre che arriva via SMS serve esclusivamente per l’installazione e l’eventuale cambio telefono;
  • non fornire ulteriori dati sensibili o codici relativi ai propri account: ogni eventuale altro codice di sicurezza serve unicamente a garantire il pieno controllo dell’account da parte dell’utente;
  • verificare periodicamente che i componenti dei gruppi Signal siano effettivamente corrispondenti con i numeri di telefono in rubrica e/o che non ci siano account doppi per una singola persona.

https://www.acn.gov.it/portale/en/w/signal-campagna-attiva-finalizzata-all-account-takeover

 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: