Дослідники безпеки з команди Malwarebytes зафіксували розгортання нової фішингової кампанії, спрямованої на користувачів месенджера Signal із підвищеними вимогами до конфіденційності. Кібератака починається із надсилання текстових повідомлень, які імітують офіційні сповіщення від служби підтримки Signal Support, де стверджується, що через технічний збій синхронізації дані облікового запису перебувають під загрозою безповоротного видалення. Для розв’язання вигаданої проблеми зловмисники вимагають від жертви виконати чітку послідовність дій: перейти в налаштування програми, активувати функцію безпечного резервного копіювання, скопіювати унікальний 64-значний ключ відновлення до буфера обміну та надіслати його текстом прямо у поточний чат із фейковою підтримкою. Головними ознаками шахрайства в таких повідомленнях є позначка «Ім’я не верифіковано» під профілем відправника та психологічний тиск через загрозу негайної втрати архівів.

З технічного боку ця атака експлуатує архітектурну особливість функції Secure Backups у Signal, яка дозволяє зберігати зашифровані копії бесід на центральних серверах компанії, проте захищає їх виключно локальним 64-значним ключем, який ніколи не передається розробникам додатка. Отримання цього секретного літерно-цифрового коду дає хакерам технічну можливість повністю завантажити та розшифрувати весь історичний архів повідомлень і медіафайлів користувача з серверної інфраструктури, що є значно небезпечнішим за звичайне перехоплення сесії, яке відкриває доступ лише до майбутніх чатів. Наразі задокументовано, що кампанія має чітко спрямований характер: першими жертвами стали незалежні журналісти, політичні активісти, дослідники кібератак та правозахисники. Наслідком успішної реалізації цієї схеми є повна компрометація конфіденційного листування, розкриття джерел інформації та передача зашифрованих метаданих у руки іноземних спецслужб або комерційних кіберзлочинців.