Una nuova ondata di attacchi sta mettendo nel mirino i backup di Signal, e il meccanismo è tanto semplice quanto insidioso. I pirati informatici si fingono il team di assistenza dell’app e provano a convincere gli utenti a consegnare la chiave di recupero che protegge le conversazioni e i file salvati online. Chi abbocca rischia di perdere il controllo dei propri dati più vecchi: chat, foto, documenti. Una trappola costruita sulla fiducia.
Come funziona la truffa contro gli utenti Signal
Tutto parte da un messaggio che sembra arrivare da un account chiamato Signal Support. Il testo avvisa che i backup delle chat e dei media sono “a rischio di perdita permanente a causa di un problema di sincronizzazione”. Per evitare il disastro, spiega il messaggio, basterebbe condividere nella chat la chiave di recupero usata per accedere ai backup online. Peccato che dietro non ci sia nessun servizio clienti, ma solo malintenzionati.
“Questo collega il tuo backup esistente al tuo account. La mancata esecuzione di questa operazione potrebbe comportare la perdita dell’accesso al tuo account e a tutti i dati memorizzati”, recitava il falso messaggio. Una formulazione studiata per spaventare e spingere all’azione immediata. È esattamente così che funziona il phishing: ingannare la vittima per farle consegnare con le sue mani informazioni private e preziose.
A lanciare l’allarme è stato un analista del Washington Post, Josh Rogin, che ha pubblicato uno screenshot dell’attacco il 27 maggio 2026. Rogin ha raccontato che diversi attivisti contrari al Partito Comunista Cinese hanno ricevuto lo stesso messaggio malevolo. Ma il fenomeno potrebbe essere più ampio.
Una campagna che potrebbe colpire ben oltre gli attivisti
Mohammed Al-Maskati, direttore della Digital Security Helpline di Access Now, organizzazione che indaga sugli attacchi informatici contro giornalisti, dissidenti e difensori dei diritti umani, ha riferito che due persone gli hanno mostrato messaggi simili. E qui arriva il dettaglio interessante: quelle due persone non erano attivisti cinesi. Segno che la campagna di hacking potrebbe estendersi ad altre comunità, oppure che più gruppi stiano usando la stessa identica strategia.
Quanto sia efficace l’operazione, al momento, non è chiaro. Al-Maskati ha spiegato che rubare la chiave di recupero dei backup è soltanto un passaggio dell’attacco: i pirati devono comunque riuscire a prendere il controllo dell’account della vittima. Un’impresa che richiede altri tasselli.
Vale la pena ricordare un punto fermo: Signal dichiara che “non contatterà mai” gli utenti per prima e che non chiederà mai il codice di registrazione, il PIN o la chiave di recupero. Tradotto, qualsiasi chat che si presenti come “Signal Support” arriva in realtà da hacker. L’organizzazione aveva già messo in guardia pubblicamente proprio su questo tipo di attacco il mese scorso.
Perché i backup sono diventati il vero bersaglio
Negli ultimi mesi non sono mancate le campagne di malintenzionati che si spacciavano per l’assistenza di Signal. Ma questa volta c’è una novità: il bersaglio sono proprio i backup, che possono contenere le conversazioni più datate, le foto e i documenti di chi viene preso di mira.
Gli aggressori possono impossessarsi di un account, ad esempio, dirottando il numero di telefono della vittima. Signal offre però funzioni di sicurezza facoltative per difendersi, come il Registration Lock, che impedisce di collegare un numero a un nuovo dispositivo senza rubare prima il PIN dell’utente. In quello scenario, l’unico modo per leggere i vecchi messaggi sarebbe accedere al backup online, che richiede appunto la chiave di recupero.
L’anno scorso Signal ha lanciato i Secure Backups, una funzione opzionale che permette di caricare i contenuti dell’account sui server dell’azienda, criptati con una chiave di recupero che, assicura l’organizzazione, “non viene mai condivisa con i server di Signal” e “non lascia mai” il dispositivo dell’utente. Il consiglio è di custodirla con cura, su un taccuino oppure dentro un gestore di password.
“Senza la tua chiave di recupero unica, nessuno (incluso Signal) può leggere, decifrare o ripristinare nessun dato presente nel tuo Secure Backup Archive”, ha sottolineato l’azienda. Significa che solo l’utente può accedere al proprio archivio quando registra l’account su un nuovo telefono, scarica il backup criptato dai server e lo decifra con la chiave. Signal non ha risposto a una richiesta di commento.