Групи зловмисників, пов’язані з російськими розвідслужбами, проводять фішингові кампанії для захоплення облікових записів у комерційних месенджерах WhatsApp і Signal. За даними CISA і FBI, атака вже призвела до несанкціонованого доступу до тисяч облікових записів по всьому світу. Ціль — особи з високою розвідувальною цінністю: чинні та колишні чиновники США, військові, політики та журналісти. Після захоплення зловмисники можуть читати повідомлення, переглядати списки контактів, надсилати листи від імені жертви та проводити подальший фішинг від довіреного імені. Атаки не ламають шифрування месенджерів, а захоплюють самі облікові записи. Директор FBI Кеш Патель заявив: «Кампанія спрямована на осіб високої розвідувальної цінності… Це призвело до несанкціонованого доступу до тисяч індивідуальних облікових записів». Зловмисники видають себе за «Signal Support» і просять натиснути посилання, відсканувати QR-код або надати PIN-код чи код підтвердження.

Є два сценарії. Якщо жертва дає код підтвердження, зловмисник відновлює обліковий запис на своєму пристрої — жертва втрачає доступ, але зловмисник може читати нові повідомлення і писати від її імені. Якщо жертва сканує QR-код або клікає посилання, до облікового запису підключається пристрій зловмисника — він отримує доступ до всіх повідомлень, включаючи старі, а жертва продовжує користуватися додатком. Подібні попередження випускали Нідерланди, Німеччина та Франція. Французький центр заявив, що атаки дозволяють доступ до історії розмов або повний контроль над обліковим записом з можливістю писати від імені жертви. Signal наголосив, що їхня підтримка ніколи не просить коди через повідомлення. Раніше Microsoft і Google пов’язували подібні кампанії з російськими групами Star Blizzard, UNC5792 та UNC4221.