Οι πρόσφατες επιθέσεις ηλεκτρονικού «ψαρέματος» (phishing) που στόχευσαν υψηλόβαθμους πολιτικούς, στρατιωτικό προσωπικό και δημοσιογράφους σε διάφορες χώρες, συμπεριλαμβανομένης της Γερμανίας, της Ολλανδίας και του Ηνωμένου Βασιλείου, έχουν αναδείξει την ευπάθεια ακόμη και των πιο ασφαλών εφαρμογών ανταλλαγής μηνυμάτων στην κοινωνική μηχανική.
Η εφαρμογή κρυπτογραφημένης συνομιλίας Signal, αν και διατηρεί την ακεραιότητα της κρυπτογράφησης και του λογισμικού της, έχει βρεθεί στο επίκεντρο αυτών των επιθέσεων, ωθώντας την να ανακοινώσει την εφαρμογή πρόσθετων μέτρων ασφαλείας.
Η φύση των επιθέσεων και η εμπλοκή της Ρωσίας
Οι επιτιθέμενοι δεν παραβίασαν την τεχνική υποδομή της Signal, αλλά εκμεταλλεύτηκαν την ανθρώπινη παράμετρο. Προσποιούμενοι την «Υποστήριξη Signal», εξαπάτησαν τους χρήστες ώστε να αποκαλύψουν κωδικούς επαλήθευσης και PIN, αποκτώντας έτσι πρόσβαση στους λογαριασμούς τους. Μετά την κατάληψη ενός λογαριασμού, οι εισβολείς συχνά άλλαζαν τον συσχετισμένο αριθμό τηλεφώνου και χρησιμοποιούσαν τις λίστες επαφών για να πλαστοπροσωπήσουν τους κατόχους των προφίλ, διευρύνοντας έτσι το πεδίο εφαρμογής της επίθεσης.
Τόσο η γερμανική όσο και η ολλανδική κυβέρνηση έχουν εκφράσει την υποψία ότι πίσω από αυτές τις συντονισμένες επιθέσεις βρίσκεται η Ρωσία. Η Ομοσπονδιακή Υπηρεσία Προστασίας του Συντάγματος (BfV) και η Ομοσπονδιακή Υπηρεσία Ασφάλειας Πληροφοριών (BSI) της Γερμανίας είχαν εκδώσει δημόσιες προειδοποιήσεις από τον Φεβρουάριο του 2026, υπογραμμίζοντας τον κίνδυνο.
Η αντίδραση της Signal και οι εξελίξεις στη Γερμανία
Η Signal έχει τονίσει ότι η κρυπτογράφηση της εφαρμογής παραμένει άθικτη και ότι το πρόβλημα έγκειται στην κοινωνική μηχανική. Ως απάντηση, ανακοίνωσε ότι «τις επόμενες εβδομάδες» θα εισαγάγει μια σειρά αλλαγών για να αποτρέψει τέτοιου είδους επιθέσεις, χωρίς ωστόσο να δώσει περισσότερες λεπτομέρειες. Η εταιρεία υπενθυμίζει επίσης ότι το προσωπικό υποστήριξης της Signal δεν θα ζητήσει ποτέ κωδικούς επαλήθευσης ή PIN από τους χρήστες.
Στη Γερμανία, οι επιθέσεις αυτές έχουν προκαλέσει σοβαρές ανησυχίες, με τη Μπούντεσταγκ να εξετάζει το ενδεχόμενο να στραφεί σε διαφορετικό πάροχο συνομιλίας, όπως η εφαρμογή Wire. Η Wire προσφέρει πλεονεκτήματα όπως η μη κοινοποίηση αριθμών τηλεφώνου και η μη ορατότητα διευθύνσεων email, παρέχοντας ένα υψηλότερο επίπεδο ιδιωτικότητας που θεωρείται κρίσιμο για κυβερνητική χρήση.
Επιπλέον, η Schwarz Group, ο όμιλος στον οποίο ανήκουν τα σούπερ μάρκετ Lidl, προωθεί τη δική της λύση ασφαλούς επικοινωνίας μέσω της Schwarz Digits. Αυτή η πρωτοβουλία, σε συνεργασία με την Wire και την πλατφόρμα STACKIT, στοχεύει στην ενίσχυση της ψηφιακής κυριαρχίας της Γερμανίας και της Ευρώπης.
Το ανθρώπινο λάθος ως κύριος κίνδυνος
Η φήμη της Signal για την ισχυρή κρυπτογράφηση είναι τέτοια που ακόμη και υψηλόβαθμοι αξιωματούχοι της κυβέρνησης των ΗΠΑ τη χρησιμοποίησαν για ευαίσθητες επικοινωνίες. Ωστόσο, ένα περιστατικό όπου συνομιλίες διέρρευσαν λόγω της κατά λάθος προσθήκης ενός δημοσιογράφου σε μια ομάδα, υπογραμμίζει ότι το ανθρώπινο λάθος παραμένει ο κυριότερος κίνδυνος για την ασφάλεια των επικοινωνιών, ανεξάρτητα από την τεχνολογική προστασία.
Οι πρόσφατες επιθέσεις phishing κατά χρηστών της Signal, ιδίως πολιτικών, αναδεικνύουν την ανάγκη για συνεχή επαγρύπνηση και εκπαίδευση των χρηστών σχετικά με τις απειλές κοινωνικής μηχανικής. Ενώ η Signal αναλαμβάνει δράση για την ενίσχυση των μέτρων ασφαλείας, η πιθανή στροφή της γερμανικής Μπούντεσταγκ σε εναλλακτικές λύσεις όπως η Wire, υπογραμμίζει την αυξανόμενη ζήτηση για ακόμη πιο αυστηρά πρωτόκολλα ιδιωτικότητας και ασφάλειας στις κυβερνητικές επικοινωνίες.
