หน่วยงานด้านความมั่นคงของเยอรมนี ได้แก่ สำนักงานคุ้มครองรัฐธรรมนูญ (BfV) และสำนักงานความมั่นคงสารสนเทศ (BSI) ได้ออกประกาศเตือนร่วมกันเกี่ยวกับแคมเปญโจมตีทางไซเบอร์ที่เป็นอันตราย ซึ่งเชื่อว่าดำเนินการโดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาล โดยใช้การโจมตีแบบฟิชชิ่งผ่านแอปพลิเคชัน Signal.
เป้าหมายหลักของการโจมตีคือบุคคลสำคัญในแวดวงการเมือง การทหาร การทูต และนักข่าวสืบสวนในเยอรมนีและยุโรป การโจมตีนี้ไม่ได้เกี่ยวข้องกับการแพร่กระจายมัลแวร์หรือการใช้ช่องโหว่ของ Signal แต่เป็นการใช้ประโยชน์จากคุณสมบัติที่ถูกต้องตามกฎหมายของแอปเพื่อเข้าถึงการสนทนาและรายชื่อผู้ติดต่อของเหยื่อโดยไม่ได้รับอนุญาต.
กลวิธีหลักคือการปลอมตัวเป็น ‘Signal Support’ หรือ ‘Signal Security ChatBot’ เพื่อหลอกให้เหยื่อเปิดเผย PIN หรือรหัสยืนยัน หรือหลอกให้สแกน QR Code เพื่อเชื่อมโยงอุปกรณ์ ซึ่งอาจส่งผลให้ผู้โจมตีเข้าถึงข้อมูลส่วนตัว การสื่อสาร และแม้กระทั่งเข้าควบคุมบัญชีเพื่อปลอมตัวเป็นเหยื่อได้ นอกจากนี้ การโจมตีในลักษณะเดียวกันนี้ยังสามารถขยายไปสู่ WhatsApp ได้ด้วย เนื่องจากมีคุณสมบัติการเชื่อมโยงอุปกรณ์และ PIN ที่คล้ายกัน.
หน่วยงานยังกล่าวถึงกิจกรรมของกลุ่มแฮกเกอร์ที่เชื่อมโยงกับรัสเซีย (เช่น Star Blizzard, Static Tundra) และจีน (เช่น Salt Typhoon) ซึ่งมีเป้าหมายที่โครงสร้างพื้นฐานสำคัญและบุคคลสำคัญในประเทศอื่น ๆ เช่น นอร์เวย์ และการโจมตีจากกลุ่มที่เชื่อมโยงกับอิหร่านที่พุ่งเป้าไปที่กลุ่มผู้เห็นต่าง.
Severity: สูง
System Impact:
- แอปพลิเคชัน Signal
- แอปพลิเคชัน WhatsApp
- อุปกรณ์มือถือของเหยื่อ
- การสื่อสารส่วนตัวที่เป็นความลับ
- รายชื่อผู้ติดต่อ
- เครือข่ายทั้งหมด (ผ่านการแชทกลุ่ม)
- อุปกรณ์ FortiGate (ในการโจมตีที่เกี่ยวข้องซึ่งระบุโดย CERT Polska)
- โครงสร้างพื้นฐานสำคัญ (ฟาร์มกังหันลม, ฟาร์มโซลาร์เซลล์, โรงงานผลิตความร้อนและไฟฟ้า)
Technical Attack Steps:
- ผู้โจมตีปลอมตัวเป็น “Signal Support” หรือ “Signal Security ChatBot”
- ผู้โจมตีติดต่อโดยตรงกับเป้าหมายที่มีความสำคัญสูง (นักการเมือง, ทหาร, นักการทูต, นักข่าว)
- **วิธีที่ 1 (การขโมย PIN):** หลอกล่อให้เหยื่อให้ PIN หรือรหัสยืนยัน Signal ที่ได้รับทาง SMS โดยอ้างว่าจะเกิดการสูญหายของข้อมูล
* หากสำเร็จ ผู้โจมตีจะลงทะเบียนบัญชีบนอุปกรณ์ของตนเองและเข้าถึงโปรไฟล์ การตั้งค่า รายชื่อผู้ติดต่อ รายการบล็อก ข้อความที่เข้ามา และสามารถส่งข้อความโดยปลอมเป็นเหยื่อได้
* เหยื่อจะสูญเสียการเข้าถึงบัญชีและถูกสั่งให้ลงทะเบียนบัญชีใหม่ - **วิธีที่ 2 (การเชื่อมโยงอุปกรณ์):** หลอกให้เหยื่อสแกน QR Code เพื่อเชื่อมโยงอุปกรณ์ใหม่
* หากสำเร็จ ผู้โจมตีจะเข้าถึงบัญชีของเหยื่อบนอุปกรณ์ที่พวกเขาจัดการ รวมถึงข้อความย้อนหลัง 45 วัน
* เหยื่อยังคงเข้าถึงบัญชีได้ แต่ข้อมูลถูกบุกรุก - **การโจมตีที่เกี่ยวข้อง (โดย Static Tundra):** การใช้ช่องโหว่ของอุปกรณ์ FortiGate ที่มีอินเทอร์เฟซ VPN เปิดเผยต่ออินเทอร์เน็ต ทำให้สามารถตรวจสอบสิทธิ์บัญชีได้โดยไม่มีการยืนยันตัวตนแบบหลายปัจจัย (MFA).
Recommendations:
Short Term:
- ห้ามโต้ตอบกับบัญชีที่อ้างว่าเป็นฝ่ายสนับสนุนบน Signal หรือแอปพลิเคชันส่งข้อความอื่น ๆ
- ห้ามให้ PIN หรือรหัสยืนยัน Signal ผ่านข้อความหรือการแชท
- เปิดใช้งานคุณสมบัติ ‘Registration Lock’ ใน Signal (และคุณสมบัติที่คล้ายกันในแอปอื่น ๆ)
- ตรวจสอบรายการอุปกรณ์ที่เชื่อมโยงเป็นประจำ และลบอุปกรณ์ที่ไม่รู้จักออก
Long Term:
- ใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) ที่แข็งแกร่งสำหรับบัญชีที่สำคัญทั้งหมด
- ให้ความรู้แก่ผู้ใช้งาน โดยเฉพาะอย่างยิ่งกลุ่มเป้าหมายที่มีความสำคัญสูง เกี่ยวกับกลยุทธ์การหลอกลวงทางสังคมและฟิชชิ่ง
- ตรวจสอบและรักษาความปลอดภัยอุปกรณ์เครือข่าย (เช่น FortiGate) อย่างสม่ำเสมอ เพื่อให้แน่ใจว่ามีการบังคับใช้ MFA สำหรับการเข้าถึง VPN
- ติดตามข่าวสารภัยคุกคามทางไซเบอร์จากหน่วยงานความมั่นคงอย่างต่อเนื่อง
Source: https://thehackernews.com/2026/02/german-agencies-warn-of-signal-phishing.html
Share this content: