W świecie cyberbezpieczeństwa nie ma rozwiązań „niezniszczalnych” – są tylko takie, które wymagają od atakujących więcej wysiłku. Nawet Signal, powszechnie uważany za wzór prywatności, stał się obiektem zmasowanych ataków.
Pełnomocnik Rządu ds. Cyberbezpieczeństwa wydał oficjalną rekomendację dla podmiotów Krajowego Systemu Cyberbezpieczeństwa (KSC), ostrzegając przed wzmożoną aktywnością grup typu APT (Advanced Persistent Threat).
Na czym polega zagrożenie?
Zespoły CSIRT poziomu krajowego zidentyfikowały precyzyjnie celowane kampanie phishingowe. Ataki te nie są dziełem przypadkowych hakerów, lecz grup powiązanych ze służbami wrogich państw.
- Kogo atakują? Osoby na eksponowanych stanowiskach, pracowników instytucji państwowych oraz kluczowych decydentów.
- Metoda działania: Klasyczna socjotechnika. Ofiara otrzymuje wiadomość podszywającą się pod obsługę techniczną Signal.
- Pretekst: Informacja o rzekomej blokadzie konta.
- Cel: Nakłonienie do kliknięcia w złośliwy link, co prowadzi do przejęcia kontroli nad komunikacją i utraty poufnych danych.
Ważne: Oficjalna obsługa techniczna Signal nigdy nie wysyła wiadomości bezpośrednio w aplikacji z prośbą o klikanie w linki w celu "odblokowania" konta.
Jak się bronić? Zalecenia bezpieczeństwa
Sama aplikacja pozostaje bezpieczna pod kątem kryptograficznym, jednak najsłabszym ogniwem jest – jak zawsze – człowiek. Aby zminimalizować ryzyko, warto wdrożyć zalecenia opracowane przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC):
- Weryfikuj źródło: Każda prośba o podanie danych lub kliknięcie w link powinna budzić Twoją nieufność.
- Stosuj blokady dostępu: Używaj PIN-u oraz blokady rejestracji w aplikacji Signal.
- Bądź czujny: Jeśli otrzymasz powiadomienie o podpięciu nowego urządzenia do Twojego konta, którego nie rozpoznajesz – działaj natychmiast.
Alternatywy dla administracji publicznej
Dla zapewnienia najwyższych standardów w komunikacji służbowej, Ministerstwo Cyfryzacji wskazuje na dedykowane, krajowe rozwiązania. Jeśli pracujesz w sektorze publicznym, rozważ przejście na narzędzia w pełni kontrolowane przez państwowe instytuty:
- Komunikator mSzyfr – bezpieczne narzędzie dla administracji publicznej do szyfrowanej komunikacji służbowej, zarządzane przez NASK-PIB.
- SKR-Z – system łączności niejawnej (do klauzuli „Zastrzeżone”).
Bezpieczeństwo państwa zaczyna się na ekranie Twojego smartfona.
Zachęcamy do zapoznania się z pełną treścią rekomendacji dostępną na stronach rządowych Ministerstwa Cyfryzacji.
Pamiętaj: technologia to tylko połowa sukcesu – druga połowa to Twoja czujność.