Signal i WhatsApp pod presją phishingu. Szyfrowanie nie chroni, gdy użytkownik oddaje konto

2026-05-10

TL;DR

Ataki na Signal i WhatsApp pokazują ważną zmianę w myśleniu o bezpiecznej komunikacji. Szyfrowanie end-to-end chroni treść wiadomości w transmisji, ale nie ochroni rozmowy, jeśli użytkownik sam odda dostęp do konta albo pozwoli atakującemu podłączyć nowe urządzenie.

To nie jest historia o złamaniu kryptografii. To historia o socjotechnice. Atakujący nie muszą czytać zaszyfrowanego ruchu, jeśli mogą przekonać człowieka, żeby podał kod, PIN, recovery key albo wykonał instrukcję rzekomego supportu.

Dla polskich firm to bardzo praktyczny temat. Signal i WhatsApp bywają używane do szybkiej koordynacji, kontaktu z zarządem, komunikacji kryzysowej, spraw międzynarodowych i kontaktu z partnerami. Nawet jeśli dzieje się to nieformalnie, ryzyko jest realne.

Najsłabszym miejscem nie jest szyfrowanie

W organizacjach często zakłada się, że użycie szyfrowanego komunikatora rozwiązuje problem poufności rozmów. To tylko część prawdy. Signal i WhatsApp mogą zapewniać silną ochronę treści w komunikacji, ale konto użytkownika nadal jest obsługiwane przez człowieka, urządzenie i proces rejestracji.

End-to-end encryption, czyli szyfrowanie od końca do końca, oznacza, że treść wiadomości jest chroniona między nadawcą i odbiorcą. To ważna warstwa bezpieczeństwa. Nie chroni jednak przed sytuacją, w której atakujący zostanie dopuszczony do konta przez legalną funkcję aplikacji.

Jeżeli przestępca przekona użytkownika do podania kodu weryfikacyjnego, Signal PIN-u, recovery key albo kodu sparowania urządzenia, nie musi łamać szyfrowania. Uzyskuje dostęp przez proces, który z punktu widzenia aplikacji może wyglądać jak zwykła rejestracja, przywrócenie albo dołączenie urządzenia.

To bardzo ważna lekcja dla firm: bezpieczny kanał nie zwalnia z bezpiecznego procesu.

Fałszywy support jako punkt wejścia

W kampaniach przeciw użytkownikom Signal powtarza się motyw fałszywego supportu. Wiadomość może udawać ostrzeżenie o podejrzanej aktywności, problemie z kontem albo konieczności weryfikacji. Użytkownik ma podać kod, PIN albo przejść przez instrukcję, która w praktyce oddaje kontrolę nad kontem atakującemu.

To klasyczna socjotechnika opakowana w język bezpieczeństwa. Oszust nie mówi: oddaj mi konto. Mówi: zabezpiecz konto. Odbiorca ma poczuć, że działa odpowiedzialnie, szczególnie jeśli jest osobą publiczną, dziennikarzem, urzędnikiem, wojskowym, aktywistą albo członkiem zespołu zarządzającego.

Signal wprost wyjaśnia, że jego zespół nie inicjuje kontaktu przez wiadomości w aplikacji, telefon, SMS ani media społecznościowe i nie prosi o kody weryfikacyjne, recovery keys ani dane płatnicze. Ta zasada powinna wejść do każdej firmowej instrukcji używania komunikatorów.

Najważniejszy komunikat jest prosty: kod weryfikacyjny nie jest informacją do konsultacji. To klucz do konta. Jeśli ktoś go chce, trzeba przerwać rozmowę.

Połączone urządzenia jako legalna funkcja i ryzyko

Funkcja połączonych urządzeń pozwala korzystać z konta komunikatora na dodatkowym komputerze lub urządzeniu. Sama funkcja jest legalna i wygodna. Problem zaczyna się wtedy, gdy atakujący nakłania użytkownika do zatwierdzenia obcego urządzenia albo podania kodu potrzebnego do sparowania sesji.

To szczególnie podstępne, bo użytkownik może nie mieć poczucia, że oddaje konto. Może myśleć, że wykonuje diagnostykę, reset, weryfikację albo instrukcję supportu. W rzeczywistości może dopuszczać obce urządzenie do swojej komunikacji.

W praktyce warto okresowo sprawdzać listę połączonych urządzeń i aktywnych sesji. Jeśli na koncie pojawia się komputer, którego użytkownik nie rozpoznaje, należy go odłączyć i zgłosić sprawę zgodnie z procedurą.

W grupach trzeba zwracać uwagę także na nowe lub dziwne konta: nieznane osoby, duplikaty kontaktów, zmianę nazwy konta, uczestników dodanych przez link grupowy albo konta wyglądające jak porzucone. To nie zawsze oznacza atak, ale powinno uruchomić ostrożność.

WhatsApp i siła znanego kontaktu

W przypadku WhatsApp bardzo groźny jest wariant, w którym wiadomość przychodzi z konta wcześniej przejętego przez oszustów. Dla odbiorcy nie wygląda to jak kontakt z obcym przestępcą. Wygląda jak wiadomość od znajomego, współpracownika, członka rodziny albo partnera biznesowego.

To zmienia poziom zaufania. Jeżeli znana osoba prosi o przelew, pilny kontakt, kod albo wejście w link, odbiorca może zareagować szybciej niż przy anonimowym SMS-ie. Właśnie dlatego kampanie oparte na przejętych kontach potrafią rozchodzić się łańcuchowo. Jedno przejęte konto staje się narzędziem do przejmowania kolejnych.

Na PHISHLY opisywaliśmy podobny problem w tekście Smishing na Telegrama. Jak działa przejęcie konta i co zrobić od razu. Platforma jest inna, ale zasada ta sama: po przejęciu konta przestępca przejmuje także część zaufania społecznego właściciela.

Dlatego wiadomości od znanych kontaktów nie mogą być automatycznie uznawane za bezpieczne, jeśli proszą o nietypowe działanie. Relacja jest ważna, ale nie zastępuje weryfikacji.

Dlaczego to jest problem firmowy

Można powiedzieć, że Signal i WhatsApp to prywatne komunikatory. W praktyce wiele organizacji używa ich do szybkiej koordynacji, kontaktów z zarządem, komunikacji kryzysowej, spraw międzynarodowych, mediów, projektów albo relacji z partnerami. Czasem formalnie, czasem półformalnie, a czasem po prostu dlatego, że tak jest szybciej.

To tworzy ryzyko. Jeżeli przejęte konto uczestniczy w grupie projektowej, atakujący może obserwować nowe wiadomości, rozpoznawać uczestników, podszywać się pod właściciela i inicjować kolejne działania. Jeżeli komunikator służy do uzgadniania decyzji, napastnik może poznać kontekst, kalendarz, relacje i podatne osoby.

Najbardziej niebezpieczne są grupy z osobami decyzyjnymi: zarząd, komunikacja kryzysowa, prawny, PR, administracja, polityka, media, bezpieczeństwo i finanse. Tam jedna fałszywa wiadomość może uruchomić prawdziwe działanie.

Co powinny ustalić organizacje

Po pierwsze, trzeba określić, do czego wolno używać komunikatorów. Szyfrowanie nie oznacza, że kanał nadaje się do informacji strategicznych, regulowanych albo bardzo poufnych. Jeżeli organizacja używa komunikatorów do kryzysu, powinna mieć jasne reguły weryfikacji uczestników i alternatywny kanał potwierdzania decyzji.

Po drugie, trzeba zakazać przekazywania kodów, PIN-ów, recovery keys i linków weryfikacyjnych komukolwiek, nawet jeśli wiadomość wygląda jak support. Kod jest kluczem do konta. Nie jest informacją do konsultacji.

Po trzecie, trzeba nauczyć użytkowników weryfikacji innym kanałem. Jeśli znany kontakt prosi przez komunikator o pieniądze, kod, dostęp albo nietypowe działanie, potwierdzamy sprawę telefonicznie lub przez inny sprawdzony kanał. Nie przez ten sam czat, który mógł zostać przejęty.

Po czwarte, warto okresowo przeglądać połączone urządzenia, aktywne sesje, członków grup i nietypowe duplikaty kontaktów. To nie jest zadanie tylko dla IT. To element higieny komunikacji.

Jak wykorzystać ten scenariusz w awareness

Ten temat jest bardzo dobry do ćwiczeń, bo użytkownik często nie kojarzy komunikatora z phishingiem. Mail może wydawać się podejrzany. Komunikator od znanej osoby budzi dużo mniej oporu.

Scenariusz testowy nie musi być skomplikowany. Wystarczy wiadomość od rzekomego supportu, prośba o kod, komunikat o podejrzanej aktywności albo prośba znanego kontaktu o szybkie potwierdzenie sprawy. Mierzymy nie tylko kliknięcie, ale też to, czy użytkownik podał kod, czy zweryfikował kontakt, czy zgłosił incydent i czy ostrzegł grupę.

W szerszym programie warto połączyć to z testami phishingowymi dla firm, bo odporność nie kończy się na skrzynce pocztowej. Coraz częściej trzeba mierzyć reakcję w kanałach, których pracownicy używają codziennie.

Dobre ćwiczenie powinno pokazać jedną rzecz: nawet jeśli kanał jest szyfrowany, prośba może być fałszywa. Bezpieczna aplikacja nie czyni każdej wiadomości bezpieczną.

Co zrobić po podejrzeniu przejęcia konta

Jeżeli użytkownik podejrzewa, że podał kod, zatwierdził obce urządzenie albo jego konto wysyła dziwne wiadomości, powinien działać od razu. Trzeba sprawdzić połączone urządzenia, usunąć nieznane sesje, zmienić ustawienia zabezpieczeń, poinformować kontakty i zgłosić sprawę zgodnie z procedurą.

W firmie taki incydent powinien trafić do IT lub Security, nawet jeśli dotyczy aplikacji prywatnej. Powód jest prosty: przejęte konto mogło zostać użyte do kontaktu z pracownikami, partnerami albo grupami projektowymi. Im szybciej organizacja wie o problemie, tym łatwiej ograniczyć dalsze skutki.

Warto też pamiętać o grupach. Jeśli przejęte konto było członkiem ważnej grupy, uczestnicy powinni zostać ostrzeżeni, a istotne decyzje podjęte w tym czasie zweryfikowane innym kanałem.

Wniosek

Signal i WhatsApp nie muszą zostać technicznie złamane, żeby stać się elementem incydentu. Wystarczy, że człowiek odda kod, PIN albo dostęp do konta. Wtedy nawet najlepsze szyfrowanie chroni rozmowę tylko do momentu, w którym do rozmowy wpuścimy napastnika.

Dobra obrona zaczyna się od prostej zasady: support nie prosi o kody, znany kontakt nie jest automatycznie wiarygodny, a każda nietypowa prośba o pieniądze, dostęp lub weryfikację musi być potwierdzona innym kanałem.