Signal, 사회공학 및 피싱 공격에 대한 보안 경고를 추가

Source: Bleeping Computer

Signal은 피싱 및 사회공학 시도에 대한 추가적인 방어 수단으로 새로운 인앱 확인 및 경고 메시지를 도입했습니다. 이는 사기와 같은 다양한 형태의 사기 위험을 줄이기 위해 사용자가 외부 요청의 안전성을 평가하도록 충분한 마찰을 제공하는 것이 목표입니다.

배경

최근 공격은 가짜 “Signal Support” 알림을 통해 고위 사용자들을 표적으로 삼았으며, 다음 사례에서 강조되었습니다:

• FBI
• 네덜란드 정부
• 독일 당국

모든 사건은 러시아 국가 지원 해커들이 Linked Device 기능을 악용해 대상 계정, 채팅 및 연락처에 접근한 것으로 밝혀졌습니다. 공격자는 일반적으로 피해자에게 QR 코드를 스캔하거나 일회용 인증 코드를 공유하도록 설득해, 위협 행위자가 자신의 기기를 대상 계정에 연결하고 전체 접근 권한을 얻도록 합니다.

“Signal 사용자를 피싱 및 사회공학 공격으로부터 보호하기 위해, 우리는 앱 내에 추가 확인 및 교육용 메시지를 도입했습니다. 이를 통해 특히 사기꾼이 Signal이라고 가장한 메시지 요청을 더 잘 감지할 수 있도록 돕고자 합니다,” 라고 공급업체는 상태 업데이트에서 설명했습니다.

새로운 피싱 및 사회공학 방어 기능

• 이름이 확인되지 않음 – 직접 메시지를 시작하는 연락처 아래에 표시됩니다.
• 공통 그룹 없음 – 수신자와 공유된 그룹이 없음을 강조합니다.
• 확인 프롬프트 – 새로운 요청이 도착하면 Signal은 사용자가 수락을 확인하도록 요구하고, 앱이 절대 등록 코드, PIN 또는 복구 키를 요청하지 않을 것임을 상기시킵니다.
• 향상된 안전 팁 – 추가 정보를 포함한 풍부한 항목들.
• 지원 사칭 경고 – 사용자는 Signal Support라고 주장하는 채팅에 절대 응답해서는 안 된다는 알림을 받습니다.

Signal의 새로운 피싱 및 사회공학 방어 기능
Source: Signal

사용자 권장 사항

• 알 수 없는 연락처로부터 오는 의심스러운 메시지, 특히 QR 코드를 스캔하거나 인증 코드를 공유하라는 요청에 주의하세요.
• 설정 → 연결된 기기를 정기적으로 확인하여 악성 기기가 있는지 점검하고, 인식하지 못하는 기기는 제거하세요.
• 연락처의 신원을 확인하고 “이름이 확인되지 않음” 및 “공통 그룹 없음” 표시를 주의 깊게 살펴보세요.