Come i servizi segreti russi rubano le chat di Signal: la nuova truffa con la chiave di backup

La truffa non sfrutta falle di Signal, ma convince l’utente a consegnare volontariamente la chiave di backup dell’account. Una volta ottenuta, i cybercriminali — attribuiti a gruppi di intelligence russa — possono ripristinare la cronologia delle chat, leggere messaggi privati e di gruppo, e impossessarsi definitivamente dell’identità digitale della vittima. La novità segnalata da FBI e CISA consiste proprio in questo passaggio aggiuntivo: dopo aver indotto la vittima a condividere il codice di recupero, gli attaccanti non devono più ricorrere a stratagemmi come l’intercettazione di SMS o l’invio di link fasulli. Il meccanismo è semplice, ma devastante: il possessore della chiave di backup può scaricare l’intero archivio delle conversazioni, anche quelle cifrate end-to-end, e riattivare l’account su un nuovo dispositivo senza che la vittima possa opporsi. Il problema è che, una volta ottenuta la chiave, gli attaccanti non hanno bisogno di nulla altro: il codice rimane valido per sempre, anche se l’utente cambia numero di telefono o crea un nuovo account.

Secondo l’avviso congiunto FBI-CISA, l’aggiornamento di giugno introduce due nuovi nomi di tracciamento — UNC5792 e UNC4221 — per identificare le campagne attribuite a servizi di intelligence russa, tra cui ufficiali dell’FSB in collaborazione con le guardie di frontiera e personale militare. Le vittime sono profilate con precisione: funzionari governativi statunitensi e internazionali, militari, politici, giornalisti e rappresentanti ucraini. Già a marzo, le autorità avevano segnalato migliaia di account compromessi in tutto il mondo, ma la nuova tecnica amplia notevolmente la portata dell’attacco. In passato, gli aggressori si limitavano a chiedere il codice di verifica SMS o il PIN dell’account, oppure inviavano link di invito a gruppi falsi che collegavano silenziosamente un dispositivo estraneo. Ora, invece, la vittima viene guidata passo dopo passo nella configurazione del backup e nella condivisione della chiave di recupero, spesso sotto la falsa motivazione di un aggiornamento di sicurezza o di un ripristino urgente dei dati.

Il meccanismo di backup di Signal è pensato per proteggere gli utenti dal rischio di perdere la cronologia delle chat, ma diventa un’arma nelle mani degli attaccanti se la chiave di recupero finisce nelle mani sbagliate. Una volta ottenuta, la chiave non solo consente di scaricare l’archivio completo delle conversazioni, ma permette anche di ripristinare l’account su qualsiasi dispositivo, bypassando le misure di sicurezza standard. Peggio ancora, la chiave rimane attiva anche dopo che la vittima ha disattivato il backup o ha cambiato numero di telefono: l’unico modo per neutralizzarla è generare una nuova chiave di recupero nelle impostazioni dell’app, un’operazione che, una volta eseguita, rende inutilizzabile la chiave precedente per qualsiasi futuro download di backup. Tuttavia, questo non cancella ciò che gli attaccanti hanno già estratto, lasciando le vittime esposte a possibili fughe di informazioni sensibili.

La campagna non colpisce solo Signal, ma anche WhatsApp, come segnalato in precedenza. Tuttavia, il nuovo metodo di attacco — basato sulla chiave di backup — è specifico per Signal, dove la funzione di backup cifrato è più diffusa tra gli utenti che desiderano conservare la cronologia delle chat su cloud o dispositivi secondari. Gli attaccanti sfruttano la fiducia che gli utenti ripongono in messaggi che sembrano provenire dal supporto ufficiale di Signal, spesso presentati come avvisi di sicurezza obbligatori o procedure di recupero dati urgenti. In alcuni casi, i messaggi di phishing includono anche istruzioni dettagliate su come abilitare il backup e condividere la chiave, rendendo l’inganno ancora più convincente. Secondo le autorità, questi attacchi sono parte di una strategia più ampia di raccolta di intelligence da parte di gruppi affiliati ai servizi di intelligence russa, con l’obiettivo di monitorare e influenzare figure chiave in ambito politico, militare e mediatico.

Il dipartimento di Stato statunitense ha rafforzato la risposta offrendo una ricompensa fino a 10 milioni di dollari per informazioni utili a identificare o localizzare i membri del gruppo UNC5792, segnale della gravità attribuita a questa minaccia. Le agenzie di intelligence olandesi (AIVD e MIVD), tedesche (BfV e BSI) e francesi (ANSSI) avevano già lanciato allarmi simili nei mesi precedenti, confermando che la campagna si estende ben oltre i confini statunitensi. Google Threat Intelligence Group è stato tra i primi a documentare le attività di UNC5792, evidenziando come il gruppo operi con un livello di sofisticazione tale da aggirare le misure di sicurezza standard e sfruttare la fiducia degli utenti nei sistemi di messaggistica cifrata.

Per gli utenti di Signal, la priorità assoluta è evitare di condividere la chiave di backup con chiunque, anche se la richiesta sembra provenire da una fonte attendibile. Signal stesso non chiede mai la chiave di recupero via chat o email, e qualsiasi messaggio che lo richieda deve essere considerato sospetto. Gli esperti consigliano di disabilitare il backup automatico delle chat o, in alternativa, di generare una nuova chiave di recupero periodicamente e conservarla in un luogo sicuro, lontano da dispositivi connessi a internet. Inoltre, è fondamentale attivare la verifica in due passaggi (2FA) su Signal, una misura che, pur non impedendo la truffa della chiave di backup, può ridurre il rischio di accessi non autorizzati tramite altri vettori di attacco.

Le aziende e le organizzazioni che gestiscono dati sensibili dovrebbero considerare l’implementazione di policy che vietino l’uso di Signal per comunicazioni critiche, almeno finché non verranno introdotte ulteriori protezioni contro questo tipo di attacchi. Signal, dal canto suo, potrebbe valutare l’introduzione di limiti temporali alla validità delle chiavi di backup o l’implementazione di notifiche più evidenti quando un account viene ripristinato su un nuovo dispositivo. Al momento, tuttavia, la responsabilità principale ricade sugli utenti, che devono essere consapevoli dei rischi e adottare comportamenti sicuri, come evitare di cliccare su link sospetti e verificare sempre la fonte di eventuali richieste di informazioni sensibili.

Gli attacchi basati sulla chiave di backup di Signal rappresentano un’evoluzione preoccupante delle tecniche di phishing, perché sfruttano una funzione legittima dell’app per ottenere accessi persistenti e completi. A differenza di altre truffe che richiedono azioni ripetute da parte della vittima, una volta ottenuta la chiave, gli attaccanti possono operare indisturbati per lungo tempo, raccogliendo informazioni senza che la vittima se ne accorga. Questo rende la minaccia particolarmente insidiosa, soprattutto per coloro che sono abituati a utilizzare Signal per comunicazioni altamente riservate. La chiave di backup, infatti, non protegge solo la cronologia delle chat, ma può anche essere utilizzata per accedere a gruppi privati e conversazioni di lavoro, con conseguenze potenzialmente gravi in ambito professionale e istituzionale.

Per mitigare il rischio, gli utenti possono adottare alcune contromisure immediate. Prima di tutto, è consigliabile disabilitare completamente la funzione di backup su Signal, accettando il rischio di perdere la cronologia delle chat in caso di cambio di dispositivo. In alternativa, se il backup è necessario, occorre generare una nuova chiave di recupero e conservarla offline, ad esempio su un supporto fisico non connesso a internet. È inoltre utile controllare periodicamente le impostazioni di sicurezza dell’account, verificando se sono stati effettuati accessi da dispositivi sconosciuti o ripristini non autorizzati. Signal offre già notifiche automatiche per accessi insoliti, ma è buona norma integrarle con controlli manuali, soprattutto per account che gestiscono informazioni sensibili.

Un altro aspetto critico riguarda la formazione degli utenti. Molti attacchi di phishing hanno successo perché le vittime non riconoscono i segnali di allerta, come messaggi urgenti che richiedono azioni immediate o richieste di informazioni personali. Le organizzazioni dovrebbero organizzare sessioni di formazione per sensibilizzare i dipendenti sui rischi delle truffe che coinvolgono le chiavi di backup e su come riconoscere i tentativi di ingegneria sociale. In particolare, è importante sottolineare che Signal non invierà mai una richiesta spontanea di condividere la chiave di recupero e che qualsiasi messaggio che lo faccia deve essere segnalato e ignorato.

Per le figure più esposte, come giornalisti, attivisti e funzionari governativi, potrebbe essere utile adottare soluzioni di messaggistica alternative che non prevedano backup cloud o, in subordine, utilizzare dispositivi dedicati esclusivamente alle comunicazioni critiche, con backup gestiti localmente e chiavi di recupero memorizzate in luoghi sicuri. In ogni caso, la consapevolezza rimane la prima linea di difesa: riconoscere la truffa prima che sia troppo tardi è l’unico modo per evitare che la chiave di backup diventi un lasciapassare per i propri dati più riservati.

In sintesi, la nuova tecnica di attacco sfrutta una funzione utile di Signal per trasformarla in un’arma, dimostrando ancora una volta come le minacce informatiche evolvano costantemente per sfruttare la fiducia degli utenti. Mentre le autorità lavorano per identificare e fermare i gruppi responsabili, gli utenti devono adottare misure proattive per proteggere i propri account. La chiave di backup non è un’opzione di sicurezza, ma un potenziale punto di rottura: gestirla con la massima attenzione è l’unico modo per evitare che diventi il grimaldello che apre le porte delle proprie conversazioni più private.