Phishing na Signal. Jak działa przejęcie komunikatora bez łamania szyfrowania

2026-04-26

TL;DR

Signal kojarzy się z bezpiecznym komunikatorem dla osób, które chcą chronić rozmowy i kontakty. I właśnie dlatego stał się atrakcyjnym celem. Niemieckie służby ostrzegają, że atakujący prowadzą kampanię phishingową wymierzoną w polityków, dyplomatów, wojskowych i dziennikarzy. Nie używają do tego exploita ani luki w aplikacji. Wystarcza socjotechnika i legalne funkcje komunikatora.

Warto zwrócić uwagę na to że przejęcie bezpiecznego komunikatora nie musi zaczynać się od złamania technologii. Czasem wystarczy przejęcie decyzji użytkownika.

O co chodzi w tej kampanii

Wspólne ostrzeżenie opublikowały dwie niemieckie instytucje. BSI, czyli federalny urząd ds. bezpieczeństwa teleinformatycznego, oraz BfV, czyli niemiecki kontrwywiad cywilny. Według ich ustaleń atakujący od co najmniej początku 2026 roku prowadzą phishing wymierzony w wysokoprofilowe cele w Europie. W centrum ostrzeżenia znalazł się Signal, choć służby zaznaczają, że podobne techniki mogą zostać użyte także wobec innych komunikatorów z podobnymi funkcjami.

W materiałach źródłowych pojawiają się politycy, wojskowi, dyplomaci i dziennikarze śledczy. Sam dobór ofiar mówi sporo. To nie wygląda jak zwykła kampania masowa. To raczej dobrze zaprojektowana operacja wymierzona w osoby, które mają dostęp do informacji wrażliwych, sieci kontaktów i rozmów o dużej wartości operacyjnej.

Sprawa Julii Klöckner pokazała, że temat nie jest teoretyczny

Niemieckie media połączyły zaktualizowane ostrzeżenie służb ze sprawą Julii Klöckner, przewodniczącej Bundestagu. Sam ten wątek nie zmienia techniki ataku, ale dobrze pokazuje skalę ryzyka. Jeśli podobny scenariusz może dotyczyć jednej z najważniejszych osób w państwie, nie mówimy już o niszowym problemie dla garstki specjalistów od bezpieczeństwa.

Warto patrzeć na ten przypadek szerzej. W takich kampaniach celem nie jest samo konto w komunikatorze rozumiane jak kolejne konto użytkownika. Celem są rozmowy, kontakty, relacje i możliwość dalszego rozwijania operacji na podstawie przejętego kontekstu.

Jak działa phishing na Signal w praktyce

W oficjalnych ostrzeżeniach pojawiają się dwa główne warianty.

Pierwszy polega na podszyciu się pod wsparcie techniczne, bota bezpieczeństwa albo zaufany kontakt. Ofiara dostaje pilny komunikat, że jej konto jest zagrożone i musi natychmiast wykonać określone działanie. W kolejnym kroku napastnicy próbują wyłudzić PIN konta albo kod SMS. To może wystarczyć do przejęcia konta i zarejestrowania go na własnym urządzeniu.

Drugi wariant jest bardziej podstępny. Wykorzystuje funkcję linkowania dodatkowych urządzeń. Użytkownik zostaje nakłoniony do zeskanowania kodu QR, który z pozoru ma służyć do bezpiecznej operacji, a w rzeczywistości podpina konto Signal do urządzenia kontrolowanego przez napastnika.

To ważne, bo w takim scenariuszu atakujący nie musi fizycznie przejmować telefonu ofiary. Wystarczy, że podepnie własny komputer albo inne urządzenie jako kolejny punkt dostępu.

Czym są linked devices i dlaczego to takie ważne

W Signal funkcja linked devices pozwala połączyć główne konto z dodatkowymi urządzeniami, na przykład z komputerem. To rozwiązanie jest wygodne i całkowicie legalne. Problem pojawia się wtedy, gdy użytkownik nieświadomie używa tej funkcji na korzyść napastnika.

Jeśli ofiara zeskanuje podstawiony kod QR, może sama dodać obce urządzenie do swojego konta. Z punktu widzenia aplikacji wszystko wygląda poprawnie. To nie jest włamanie do szyfrowania ani uszkodzenie zabezpieczeń. To nadużycie funkcji, która działa dokładnie tak, jak została zaprojektowana.

I właśnie dlatego ten atak jest tak niebezpieczny. Komunikator działa dalej. Rozmowy toczą się normalnie. A jednak ktoś jeszcze może je obserwować.

To nie jest luka w Signal. To atak na zaufanie do procesu

To najważniejsze rozróżnienie w całej historii. W tym przypadku nie chodzi o złamanie szyfrowania end-to-end ani o techniczną kompromitację samej aplikacji. Chodzi o przejęcie decyzji użytkownika i wykorzystanie legalnego procesu przeciwko niemu.

Jeśli użytkownik sam poda kod, sam wpisze PIN albo sam zeskanuje kod QR, kryptografia przestaje być głównym problemem. Aplikacja robi wtedy dokładnie to, do czego została zaprojektowana. To człowiek został nakłoniony do wykonania niewłaściwego kroku.

To dobrze łączy się z wieloma innymi kampaniami, które opisujemy na PHISHLY. W tekście Apple Account i phishing przez prawdziwe powiadomienia problemem także nie był exploit, tylko nadużycie legalnego procesu. W materiale Okta pod ostrzałem. Ten scenariusz może pojawić się także w Polsce również chodziło o przejęcie decyzji użytkownika i procesu tożsamościowego, a nie o prosty atak na system.

Dlaczego Signal jest tak cennym celem

Signal jest używany przez polityków, dziennikarzy, aktywistów, urzędników i osoby pracujące z informacjami wrażliwymi. To sprawia, że konto w komunikatorze ma dużą wartość operacyjną.

Nawet bez pełnej kompromitacji telefonu można uzyskać dostęp do:

• kontaktów,
• części rozmów,
• wiedzy o sieci relacji,
• kontekstu przydatnego do dalszych prób podszycia się pod ofiarę.

Niemieckie służby zwracają uwagę, że taki phishing może służyć nie tylko do podglądania komunikacji, ale też do rozwijania dalszych kompromitacji. To szczególnie groźne w środowiskach politycznych i administracyjnych, gdzie komunikator jest częścią codziennego obiegu informacji.

QR jako narzędzie przejęcia komunikacji

Kod QR większości użytkowników kojarzy się z wygodą. Szybkie logowanie, parowanie urządzenia, przejście do witryny. I właśnie dlatego tak dobrze nadaje się do nadużyć.

Jeśli użytkownik nie rozumie dokładnie, co zrobi po zeskanowaniu kodu, skanowanie staje się odruchem. A odruch to dokładnie to, czego potrzebuje atakujący.

To nie jest pierwszy raz, gdy kod QR pojawia się w centrum nowoczesnego phishingu. Pisaliśmy o tym szerzej w tekście Fałszywy mandat z kodem QR. Smishing wraca w nowym opakowaniu. Różnica polega na tym, że tutaj stawką nie jest płatność ani przejście na stronę, ale ciche dodanie napastnika do prywatnej komunikacji.

Jak sprawdzić, czy ktoś podpiął obce urządzenie do Signala

To jest jedna z tych rzeczy, które warto robić regularnie, a nie dopiero po incydencie.

Jeśli używasz Signala do rozmów wrażliwych, warto okresowo wejść w ustawienia aplikacji i sprawdzić listę podłączonych urządzeń. Szczególną ostrożność powinny zachować osoby, które korzystają z komunikatora służbowo, uczestniczą w zamkniętych grupach albo pracują z tematami poufnymi.

Lampkę ostrzegawczą powinny zapalić sytuacje, w których:

• na liście pojawia się urządzenie, którego nie rozpoznajesz,
• ktoś prosi Cię o zeskanowanie kodu QR pod pretekstem bezpieczeństwa,
• dostajesz pilny komunikat o konieczności ochrony konta,
• ktoś żąda PIN-u, kodu SMS albo szybkiej weryfikacji poza normalną ścieżką.

Najprostsza zasada jest bardzo praktyczna: jeśli nie masz pełnej pewności, po co masz zeskanować kod albo podać kod dostępu, nie rób tego.

Sygnał także dla firm i instytucji w Polsce

Choć ta kampania dotyczyła Niemiec, sam mechanizm jest uniwersalny. Każda organizacja, która używa komunikatorów do spraw służbowych, uzgodnień operacyjnych albo koordynacji poza pocztą, może stać się celem podobnego scenariusza.

W Polsce problem jest tym bardziej istotny, że wiele osób korzysta z szyfrowanych komunikatorów półformalnie, bez jasno opisanych zasad dotyczących tego, co wolno robić, czego nie skanować i jak kontrolować dodatkowe urządzenia. To tworzy dobre warunki dla ataku, który nie wygląda jak klasyczny phishing.

Jeśli do tego dołożysz presję czasu, autorytet nadawcy i wątek bezpieczeństwa konta, otrzymujesz bardzo przekonującą mieszankę.

Co powinno zapalić lampkę ostrzegawczą

Szczególnie ryzykowne są sytuacje, w których ktoś przez komunikator sam kontaktuje się z ofiarą i twierdzi, że trzeba pilnie zabezpieczyć konto, potwierdzić tożsamość albo uniknąć utraty danych. To samo dotyczy próśb o przesłanie kodu SMS, PIN-u albo zeskanowanie kodu QR bez pełnego zrozumienia skutków.

Dla użytkownika najprostsza zasada brzmi tak: jeśli ktoś w komunikatorze wywołuje presję bezpieczeństwa i prowadzi Cię krok po kroku do czynności związanej z logowaniem, parowaniem albo odzyskiwaniem dostępu, zatrzymaj się. To może być dokładnie ten moment, w którym legalna funkcja zamienia się w narzędzie przejęcia.

Co organizacje powinny zrobić praktycznie

Po pierwsze, trzeba wprost włączyć komunikatory do programu awareness. W wielu firmach szkolenia nadal skupiają się niemal wyłącznie na mailach. To błąd. Dziś duża część socjotechniki dzieje się przez komunikatory, telefony i QR.

Po drugie, osoby wysokiego ryzyka powinny regularnie sprawdzać listę linked devices w komunikatorach. To prosty nawyk, ale w tego typu kampaniach może mieć duże znaczenie.

Po trzecie, organizacja powinna jasno ustalić, że kody, PIN-y i procesy parowania urządzeń nie są realizowane pod presją wiadomości od rzekomego wsparcia. Jeśli coś wymaga weryfikacji, trzeba przejść do znanego, oficjalnego kanału, a nie działać z poziomu otrzymanego komunikatu.

W tym sensie dobrze uzupełnia to nasz tekst Warstwa obrony przed phishingiem. Czego brakuje, gdy filtr poczty nie wystarcza, bo tutaj widać bardzo wyraźnie, że problem dawno wyszedł poza sam inbox.

Bezpieczeństwo Signal

Sprawa phishingu na Signal i wątek Julii Klöckner pokazują bardzo ważną zmianę w dzisiejszych atakach. Nie trzeba łamać szyfrowania, żeby przejąć komunikację. Wystarczy przejąć decyzję użytkownika i wykorzystać legalny mechanizm aplikacji przeciwko niemu.

To dlatego ten case jest tak ważny. Pokazuje, że bezpieczeństwo komunikatora nie kończy się na technologii. Kończy się dopiero wtedy, gdy użytkownik rozumie, czego nie wolno potwierdzać, czego nie wolno skanować i kiedy przerwać nawet bardzo wiarygodnie wyglądający proces.

Jeżeli chcesz budować odporność na takie scenariusze, nie wystarczy mówić ludziom, że Signal jest bezpieczny. Trzeba jeszcze pokazać im, jak wygląda atak, który nie omija aplikacji, tylko obchodzi człowieka.