Takto vyzerá nová podovodná správa na WhatsAppe a Signale, cez ktorú hackeri kradnú prístup k súkromným konverzáciám
Bezpečnostní analytici upozorňujú na novú hackerskú kampaň, ktorá sa zameriava na užívateľov Signalu a WhatsAppu. Hacker pošle správu, ktorá varuje pred stratou zálohovaných dát, no reakcia na ňu znamená, že ti útočníci ukradnú účet.
Kybernetickí podvodníci neustále hľadajú nové spôsoby, ako sa dostať k súkromným správam používateľov. Najnovšia kampaň sa zamerala na aplikáciu Signal, no rovnaký princíp môže fungovať aj pri ďalších populárnych četovacích aplikáciách, vrátane WhatsAppu.
Bezpečnostní experti upozorňujú na podvodné správy, ktoré sa tvária ako oficiálna komunikácia technickej podpory. Útočníci sa pokúsia presvedčiť obeť, aby dobrovoľne odovzdala údaje, ktoré útočníkom otvoria cestu k zálohám konverzácií.
Na podvod upozornil portál TechCrunch, ktorý píše, že viacerí aktivisti dostali správu od účtu, ktorý sa vydával za technickú podporu. Správa tvrdila, že používateľovi hrozí strata zálohovaných správ a médií kvôli údajnému problému so synchronizáciou. Riešenie malo byť jednoduché, odoslať takzvaný recovery key, teda obnovovací kľúč používaný pri prístupe k zálohám.
Pri phishingu sa objavuje veľmi často, že sa podvodníci pokúšajú vyvolať pocit urgentnosti. V tomto prípade to hrali na strach zo straty zálohovaných správ, no bezpečnostní analytici upozorňujú, že bežne sa podvodníci zameriavajú aj na diametrálne odlišný pocit, napríklad radosť z výhry.
Útoky zasiahli okrem Signalu aj viacero četovacích aplikácií vrátane WhatsAppu
Prvé hlásenia prišli od aktivistov kritických voči čínskej vláde, no odborníci neskôr zaznamenali rovnaký typ správ aj u ďalších ľudí bez akéhokoľvek spojenia s touto komunitou. To naznačuje, že útočníci neútočia na jednu konkrétnu skupinu. Skôr skúšajú osloviť čo najväčší počet používateľov a dúfajú, že niekto naletí.
Neprehliadni
This is a phishing attempt. If you get this message on Signal, do not follow the instructions. Many anti-CCP activists have also received this phishing attempt. Beware and be aware. pic.twitter.com/8J1YDcpUAX
— Josh Rogin (@joshrogin) May 27, 2026
Hoci aktuálna kampaň využíva meno Signalu, rovnakú metódu poznáš aj z prostredia WhatsAppu, Telegramu, Facebook Messengeru či e-mailových služieb. Útočník sa vydáva za podporu známej platformy a snaží sa od teba vylákať prihlasovacie údaje alebo bezpečnostné kľúče. Práve WhatsApp sa stal druhou zasiahnutou aplikáciou, na ktorej bezpečnostní analytici pozorovali nové útoky.
Signal minulý rok predstavil funkciu Secure Backups, ktorá umožňuje ukladať šifrované zálohy konverzácií na servery spoločnosti. K prečítaniu týchto záloh však potrebuješ špeciálny obnovovací kľúč, ktorý máš k dispozícii jedine ty. Ani Signal nedokáže tieto správy bez tvojho kľúča prečítať, čo je zároveň dôvod, prečo sa ho hackeri snažia silou-mocou získať.
Vývojári Signalu preto varujú, že tento údaj má podobnú hodnotu ako heslo alebo dvojfaktorový autentifikačný kód.
Aj WhatsApp sa stal terčom útokov
Ako sme už spomenuli, aj keď sa aktuálne prípady týkajú Signalu, používatelia WhatsAppu tiež zaznamenali útoky s podobným scenárom. WhatsApp totiž takisto ponúka šifrované zálohy a rôzne bezpečnostné mechanizmy na ochranu účtu. Útočníci preto často skúšajú vylákať overovacie kódy, prihlasovacie údaje alebo informácie potrebné na obnovu dát.
Základný princíp zostáva rovnaký. Ak niekto získa údaje potrebné na obnovenie účtu alebo zálohy, môže sa pokúsiť dostať k citlivým správam, fotografiám či dokumentom.
Stačí pritom tak málo, aby si udržal svoj účet v bezpečí. Stačí mať neustále na pamäti, že žiadna legitímna služba od teba nebude cez chat žiadať heslo, PIN kód, obnovovací kľúč ani overovací kód zaslaný SMS správou. Ak ti do schránky príde správa s takouto výzvou, automaticky ide o podvod. V tomto prípade neexistujú žiadne situácie, kedy by bolo pýtanie si tvojich hesiel alebo kódov oprávnené.
Signal, WhatsApp a iné četovacie aplikácie na túto skutočnosť upozornili už v minulosti.
Odborníci zároveň odporúčajú aktivovať všetky dostupné bezpečnostné funkcie, používať silné heslá a ukladať obnovovacie kľúče do dôveryhodného správcu hesiel alebo na bezpečné offline miesto.
Signal varuje, že v budúcnosti môžeme čakať ešte profesionálnejšie podvody. Umelá inteligencia pomáha hackerom zakryť slabú gramatiku alebo úplnú neznalosť jazyka, plus im pomáha skomponovať profesionálne znejúce správy do pár sekúnd. Ďalším problémom je, že hackeri už neútočia na zabezpečenie aplikácie. Útočia na ľudí a pomocou manipulácie sa snažia priamo z nich vylákať heslá alebo kódy na obnovu účtu. Neexistuje totiž antivírový softvér alebo bezpečnostná funkcia, ktorá by dokázala zabrániť tomu, že hackerovi prezradíš svoje citlivé informácie ty sám.
