Signal met en garde contre les attaques de phishing et recommande le verrouillage d'enregistrement

La Fondation Signal a averti ses utilisateurs d'une campagne de phishing à grande échelle, visant principalement des politiciens, journalistes, diplomates et militaires en Allemagne. Les attaquants ne compromettent ni le chiffrement ni l'infrastructure de Signal, mais utilisent l'ingénierie sociale pour tromper les utilisateurs.

Les attaquants créent des comptes Signal légitimes, se font passer pour le "Support Signal" et tentent ensuite de manipuler les cibles pour qu'elles révèlent leurs identifiants de connexion via divers messages trompeurs. La fondation souligne que de telles attaques exploitant la psychologie humaine sont un fardeau pour toute application de messagerie largement utilisée lorsqu'elle atteint une certaine échelle.

Une fois les identifiants obtenus, les attaquants peuvent prendre le contrôle du compte Signal d'une victime et tenter de changer le numéro de téléphone associé, entraînant la désinscription du compte d'origine. Ils essaient souvent de convaincre les victimes à l'avance que cette désinscription est normale et leur demandent de se reconnecter. Ceci aboutit à ce que la victime crée un nouveau compte, tandis que l'attaquant conserve le contrôle de l'ancien compte pour recueillir des informations auprès des contacts et des groupes de la victime.

Signal prévoit d'implémenter des changements dans les semaines à venir pour contrer ces attaques, bien que les détails n'aient pas encore été révélés. La fondation rappelle qu'aucun représentant du Support Signal ne demandera jamais de codes de vérification ou de code PIN Signal. Il est fortement conseillé aux utilisateurs d'activer le "Verrouillage d'enregistrement" dans les paramètres de Signal pour une couche de protection supplémentaire.