
FBI ve CISA, Rus istihbarat gruplarının Signal kullanıcılarını hedef alan sosyal mühendislik kampanyasına ilişkin mart ayında yayımladığı uyarıyı güncelledi. Yeni uyarıya göre saldırganlar artık yalnızca hesap kodlarını değil, Signal’ın yedekleme kurtarma anahtarını ele geçirmeye çalışıyor.
Signal, kar amacı gütmeyen Signal Foundation tarafından geliştirilen uçtan uca şifreli mesajlaşma uygulaması. Mesajlara yalnızca gönderen ve alıcı erişebiliyor; Signal dahil hiçbir üçüncü taraf okuyamıyor. Bu özelliği nedeniyle gazeteciler, diplomatlar, aktivistler ve askeri personel tarafından yaygın şekilde tercih ediliyor. Bu durum da uygulamayı Rus istihbaratı için cazip bir hedef haline getiriyor.
Bu anahtarı elde eden bir saldırgan, hesabın tüm mesaj geçmişine ve grup yazışmalarına erişebiliyor. Daha da kritik olanı şu: anahtar, kullanıcı aynı telefon numarasıyla yeni bir hesap açsa bile geçerliliğini koruyor. Dolayısıyla tek bir hata, kalıcı bir erişim kapısı açabiliyor.
Hedeflere, “Signal destek ekibinden” geliyormuş gibi görünen mesajlar iletiliyor. Kimisi zorunlu bir iki faktörlü kimlik doğrulama güncellemesi, kimisi acil bir “veri kurtarma” talebi kılığına büründürülmüş bu mesajlar, kullanıcıları yedeklemeyi etkinleştirmeye ve kurtarma anahtarını sohbet ekranına yapıştırmaya yönlendiriyor. Hesabın şifrelemesi kırılmıyor; saldırganlar yasal bir özelliği, kullanıcı hatası üzerinden istismar ediyor.
Güncellenen uyarı, kampanyayı yürüten gruplara iki izleme adı atadı: UNC5792 ve UNC4221. FBI bu faaliyeti FSB ve Rus askeri istihbarat birimleriyle ilişkilendiriyor. Kampanyanın mart ayı itibarıyla dünya genelinde binlerce hesabı tehlikeye attığı belirtiliyor. Hedefler arasında ABD’li ve uluslararası hükümet yetkilileri, askeri personel, siyasetçiler, gazeteciler ve Ukraynalı yetkililer yer alıyor. ABD Dışişleri Bakanlığı, UNC5792 hakkında bilgi verecekler için 10 milyon dolara kadar ödül teklif ediyor.
Bu kampanyanın arkasındaki gruplar Signal’a yabancı değil. UNC5792 daha önce meşru Signal grup davet sayfalarını manipüle ederek kurbanların hesaplarını saldırganlara ait cihazlara bağlıyordu. UNC4221 ise Ukrayna ordusunun topçu rehberleme yazılımı Kropyva’yı taklit eden kimlik avı kitleriyle Ukraynalı askeri personeli hedef alıyordu. Taktikler değişti, hedef kitle genişledi. Asıl paradoks ise Signal’ın şifrelemesinin hâlâ kırılmış olmaması. Saldırganlar buna gerek de duymuyor; hesap ele geçirildikten sonra tespit son derece güçleşiyor ve fark edilmeden uzun süre devam edebiliyor. Teknik güvenlik ne kadar güçlü olursa olsun, kullanıcı kaynaklı hatalar güvenliğin en zayıf noktalarından biri olmaya devam ediyor.
Benzer uyarılar daha önce Hollanda, Almanya ve Fransa istihbarat servisleri tarafından da yapılmıştı. Google Tehdit İstihbaratı Grubu ise UNC5792’nin 2025 başında Signal’ın cihaz bağlama özelliğini istismar ettiğini belgelemiş; aynı taktiğin WhatsApp ve Telegram’a karşı da kullanıldığını tespit etmişti.
Hesaplarınızı korumak için ise bazı öneriler söz konusu. Uygulama içinden gelen “Signal destek” mesajlarını güvenilir kabul etmeyin; gerçek destek ekibi kod, PIN veya kurtarma anahtarı istemez. Kurtarma anahtarınızı, doğrulama kodunuzu veya PIN’inizi asla paylaşmayın. Ayarlar menüsünden bağlı cihazları kontrol edin ve tanımadıklarınızı kaldırın. Anahtarınızı paylaşmış olabileceğinizi düşünüyorsanız hemen yeni bir anahtar oluşturun; eski anahtarla erişilen yedeklemelerin artık üçüncü kişilerin erişimine açılmış olabileceğini unutmayın.




