Una nuova campagna di phishing prende di mira gli utenti di Signal usando falsi account “Signal Support” per convincerli a rivelare le chiavi di recupero dei backup cifrati. L’attacco sfrutta paura e urgenza per aggirare la sicurezza, puntando alle conversazioni archiviate.
Mentre Signal insiste nel dire che non contatterà mai gli utenti all’interno dell’app, c’è una nuova campagna di phishing che utilizza falsi account di supporto per ottenere l’accesso ai backup cifrati delle conversazioni. Questo è un esempio chiaro di come l’ingegneria sociale riesca a superare le protezioni tecnologiche, anche quelle progettate per essere molto sicure.

Negli ultimi giorni è emersa una campagna di phishing che prende di mira gli utenti di Signal, l’applicazione di messaggistica nota per la sua forte attenzione alla privacy e alla crittografia end-to-end. L’obiettivo è convincere gli utenti a consegnare spontaneamente una delle informazioni più sensibili del proprio account: la chiave di recupero dei backup.
La storia è venuta a galla il 27 maggio 2026, quando Josh Rogin, un giornalista del Washington Post, ha condiviso su un messaggio che aveva ricevuto. Il messaggio era stato inviato a diverse persone che erano state prese di mira da una campagna. Tra i primi destinatari c’erano attivisti che si opponevano al Partito Comunista Cinese.
In seguito, si è scoperto che il fenomeno potrebbe essere più ampio di quanto inizialmente pensato. Mohammed Al-Maskati, che lavora per Access Now, un’organizzazione che aiuta giornalisti, dissidenti e difensori dei diritti umani che sono stati attaccati online, ha detto che messaggi simili sono stati ricevuti anche da persone che non sono direttamente coinvolte in quella specifica vicenda.
Il messaggio arriva apparentemente da un account chiamato “Signal Support”.
L’utente viene informato che l’account sarebbe a rischio di perdita permanente dei dati a causa di un presunto problema di sincronizzazione e per evitare la cancellazione di messaggi e contenuti multimediali viene richiesto di accedere alle impostazioni dell’applicazione, visualizzare la chiave di recupero del backup e copiarla all’interno della conversazione.
L’approccio è semplice ma estremamente efficace, si tratta di una tecnica ben nota nell’ambito dell’ingegneria sociale. Il messaggio combina infatti tre meccanismi psicologici particolarmente efficaci.
Il primo è la cosiddetta Loss Aversion (avversione alla perdita), un principio studiato dalla psicologia cognitiva secondo cui le persone tendono a reagire in modo più intenso alla prospettiva di perdere qualcosa rispetto alla possibilità di ottenere un beneficio equivalente. La minaccia della perdita permanente di anni di conversazioni, fotografie e documenti diventa quindi un potente incentivo all’azione.
Il secondo elemento è il Fear Appeal, ovvero l’utilizzo della paura come leva persuasiva. L’utente viene portato a immaginare uno scenario negativo imminente – la perdita definitiva dei propri dati – aumentando il livello di stress e riducendo la capacità di valutare criticamente la richiesta.
Infine compare il cosiddetto Urgency-Based Phishing. L’attaccante crea un’emergenza artificiale e suggerisce che l’unica soluzione sia agire immediatamente. In queste condizioni la vittima tende a concentrarsi sul problema apparentemente urgente piuttosto che verificare l’identità dell’interlocutore o la legittimità della procedura richiesta.
Nella documentazione ufficiale del servizio compare una FAQ che non lascia spazio a interpretazioni: chiunque contatti un utente all’interno dell’app dichiarando di appartenere al supporto Signal deve essere considerato un tentativo di phishing. È esattamente lo schema osservato nella nuova campagna, dove falsi account “Signal Support” cercano di ottenere le chiavi di recupero dei backup. L’avvertimento era già lì, nero su bianco, molto prima che la campagna diventasse di dominio pubblico.

Per comprendere la gravità della minaccia bisogna capire cosa rappresenta realmente questa chiave.
Signal ha introdotto la funzionalità Secure Backups per consentire agli utenti di archiviare copie crittografate delle proprie conversazioni sui server dell’organizzazione. L’intero archivio viene protetto mediante una chiave di recupero generata sul dispositivo dell’utente.
Secondo la documentazione ufficiale di Signal, questa chiave non viene trasmessa ai server e non è conosciuta dall’organizzazione stessa. Senza di essa nessuno, nemmeno Signal, può accedere al contenuto del backup.
In pratica rappresenta la combinazione della cassaforte che contiene anni di conversazioni, fotografie, documenti e file condivisi.
Se un attaccante riesce a ottenerla e successivamente a prendere il controllo dell’account della vittima, può accedere all’archivio storico delle comunicazioni.
Ed è proprio questo l’aspetto che distingue questa campagna da molti attacchi precedenti.
Tradizionalmente gli attacchi contro gli utenti Signal avevano l’obiettivo di dirottare l’account per impersonare la vittima o accedere ai contatti.
In quei casi, però, la cronologia passata dei messaggi non risultava normalmente disponibile sul nuovo dispositivo utilizzato dall’attaccante.
La nuova tecnica cerca invece di colpire i backup.
In altre parole, non punta soltanto al presente della comunicazione, ma anche al suo passato.
Per un giornalista, un ricercatore, un attivista o una fonte confidenziale, la cronologia delle conversazioni può avere un valore enorme. È proprio questo patrimonio informativo a rendere particolarmente appetibili le chiavi di recupero dei backup.
Resta però un interrogativo fondamentale: chi c’è dietro questa campagna?
Le prime segnalazioni pubbliche riguardano attivisti anti-Partito Comunista Cinese, ma casi analoghi sarebbero stati osservati anche al di fuori di questo contesto. Ciò ha inevitabilmente attirato l’attenzione degli analisti. Allo stato attuale, tuttavia, non risultano attribuzioni pubbliche affidabili né elementi tecnici sufficienti per collegare la campagna a uno specifico gruppo criminale o a un attore statuale.
La tecnica utilizzata non richiede malware sofisticati, vulnerabilità zero-day o infrastrutture particolarmente complesse. Al contrario, si basa su una semplice operazione di social engineering che potrebbe essere adottata tanto da gruppi criminali comuni quanto da operatori più strutturati interessati a bersagli specifici.
Per il momento, dunque, l’attribuzione resta aperta.
Ciò che appare evidente è che qualcuno ha individuato nelle chiavi di recupero dei backup di Signal un obiettivo di grande valore e ha scelto di raggiungerlo non attaccando la tecnologia, ma cercando di convincere gli utenti a consegnarle spontaneamente.
L’identità degli autori rimane sconosciuta. La tecnica utilizzata, invece, è ormai sotto gli occhi di tutti.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.
Perché la miglior difesa, in fondo, è una bella storia. 👉 Scopri tutto su https://betti.redhotcyber.com/