ФБР та CISA попередили: фсб полює за резервними ключами Signal і WhatsApp
ФБР і Агентство з кібербезпеки та захисту інфраструктури США (CISA) оновили попередження про масштабну фішингову кампанію російської розвідки проти користувачів комерційних месенджерів, йдеться у спільній заяві від 26 червня 2026 року - продовженні березневого попередження цього ж року.
Полюють не на сам код шифрування Signal чи WhatsApp - до нього оператори кампанії, за даними ФБР, доступу не мають. Ціль інша й точковіша: конкретні акаунти конкретних людей. У переліку - чинні та колишні американські й міжнародні чиновники, військові, політики, журналісти та ключові особи, пов'язані з Україною. За кампанією стоять офіцери ФСБ, вбудовані в структуру Прикордонної служби ФСБ, та представники російської військової розвідки. У кіберспільноті активність цих груп відстежують під позначками UNC5792 і UNC4221.
Тактика еволюціонувала. Раніше зловмисники, маскуючись під автоматичну службу підтримки месенджера, виманювали у жертв коди верифікації та PIN-коди облікового запису. Тепер до цього додався полюн на Backup Recovery Key - ключ відновлення резервної копії. Схема проста: жертву переконують увімкнути резервне копіювання переписки, а потім під приводом "збою синхронізації" чи загрози втрати даних виманюють сам ключ відновлення. Отримавши його, зловмисники бачать всю історію повідомлень - особисте й групове листування - і фактично перебирають акаунт на себе.
Пастка тут довгограюча. Навіть якщо жертва, здогадавшись про компрометацію, видаляє акаунт і створює новий на той самий номер телефону, старий ключ відновлення залишається дійсним - і теоретично дозволяє зловмисникам перехопити вже новий акаунт у майбутньому. Єдиний спосіб розірвати це коло - вручну згенерувати новий Backup Recovery Key через налаштування месенджера, що анулює попередній ключ для всіх майбутніх завантажень резервних копій. Але це не скасовує того, що зловмисники вже могли завантажити копію початкового акаунта раніше.
ФБР і CISA нагадують базові правила гігієни: служба підтримки месенджера ніколи не пише інакше, ніж з офіційної корпоративної електронної пошти, ніколи не запитує код верифікації прямо в застосунку і ніколи не надсилає посилання на "відновлення" чи "верифікацію" акаунта. Якщо повідомлення просить назвати код підтвердження - і при цьому немає стовідсоткової впевненості, що це офіційний канал зв'язку, - код називати не можна за жодних обставин.
Постраждалим від подібних кампаній радять звертатися до IC3, найближчого польового офісу ФБР або CISA - через систему звітування про інциденти, цілодобовий операційний центр за адресою [email protected] чи за номером 1-844-Say-CISA.


