Phishing na Signal. Jak rozpoznać próbę przejęcia konta

2026-03-31

TL;DR

Phishing na Signal nie oznacza włamania do samej aplikacji. W opisywanej kampanii chodzi o przejęcie konkretnego konta użytkownika przez socjotechnikę, wyłudzenie kodu albo podpięcie obcego urządzenia.

Najważniejsza zasada jest prosta: nie podawaj kodów, nie skanuj podejrzanych kodów QR i nie reaguj pod presją na wiadomości podszywające się pod wsparcie techniczne.

O co chodzi w ataku na użytkowników Signal

W ostrzeżeniu FBI i CISA opublikowanym przez IC3 jasno wskazano, że atakujący przejmują indywidualne konta w komunikatorach, ale nie łamią ich szyfrowania ani samej aplikacji. To ważne rozróżnienie, bo problem nie leży tu w tym, że Signal jest rzekomo dziurawy, tylko w tym, że użytkownika da się nakłonić do oddania dostępu.

Z kolei AIVD i MIVD opisują dwa powtarzające się scenariusze. Pierwszy to podszywanie się pod wsparcie Signal i wyłudzanie kodów bezpieczeństwa lub PIN-u. Drugi to nadużycie funkcji łączenia urządzeń, dzięki czemu napastnik może uzyskać dostęp do wiadomości bez wzbudzania od razu podejrzeń.

Jeśli chcesz szerzej uporządkować sam mechanizm oszustwa, zobacz też materiał wyjaśniający co to jest phishing.

Jak rozpoznać próbę przejęcia konta

Podejrzana jest każda wiadomość, która makazuje działać natychmiast i straszy problemem z bezpieczeństwem konta. Może to być rzekome ostrzeżenie, informacja o podejrzanym logowaniu, prośba o pilną weryfikację albo komunikat udający oficjalne wsparcie. W praktyce to klasyczna socjotechnika: presja, pośpiech i pozornie techniczny problem, który trzeba rozwiązać już teraz.

Krytyczny sygnał ostrzegawczy pojawia się wtedy, gdy ktoś chce od Ciebie kodu, PIN-u albo zeskanowania kodu QR w nietypowym kontekście. Signal ma funkcję połączonych urządzeń, a w kampanii opisanej przez służby właśnie ta funkcja była wykorzystywana jako element ataku. To dobry przykład, że bezpieczna aplikacja nadal może zostać użyta przeciw użytkownikowi, jeśli ten wykona złą akcję.

Mechanizm jest bardzo podobny do innych kampanii opartych na wyłudzeniu kodu logowania. Widać to choćby we wpisie o przejęciu konta w Telegramie przez smishing, gdzie sednem ataku też nie było włamanie techniczne, tylko skłonienie ofiary do oddania dostępu.

Co zrobić od razu

Jeśli dostaniesz podejrzaną wiadomość na Signal, zastanów się. Nie odpowiadaj automatycznie, nie klikaj linku, nie skanuj kodu QR i nie przekazuj żadnego kodu, nawet jeśli komunikat wygląda profesjonalnie. Przy takich atakach najgroźniejszy jest odruch szybkiego działania.

Jeśli już kliknąłeś albo podałeś kod, załóż, że konto mogło zostać przejęte. Sprawdź połączone urządzenia, odłącz te, których nie rozpoznajesz, i zwróć uwagę, czy z Twojego konta nie wychodzą wiadomości, których nie wysyłałeś. Im szybsza reakcja, tym większa szansa, że ograniczysz skutki incydentu.

Jeżeli używasz Signal także służbowo, zgłoś incydent do IT lub Security, bo przejęte konto może zostać użyte do dalszego phishingu wobec współpracowników, klientów albo partnerów. W firmie liczy się nie tylko ochrona jednego użytkownika, ale też szybkie zatrzymanie łańcucha kolejnych działań jakie przestępcy moga wykonać z już przejętego konta.