Allarme Signal: attacco phishing punta alle chiavi di recupero dei backup

Una nuova campagna di phishing prende di mira gli utenti di Signal usando falsi account “Signal Support” per convincerli a rivelare le chiavi di recupero dei backup cifrati. L’attacco sfrutta paura e urgenza per aggirare la sicurezza, puntando alle conversazioni archiviate.

Mentre Signal insiste nel dire che non contatterà mai gli utenti all’interno dell’app, c’è una nuova campagna di phishing che utilizza falsi account di supporto per ottenere l’accesso ai backup cifrati delle conversazioni. Questo è un esempio chiaro di come l’ingegneria sociale riesca a superare le protezioni tecnologiche, anche quelle progettate per essere molto sicure.

Negli ultimi giorni è emersa una campagna di phishing che prende di mira gli utenti di Signal, l’applicazione di messaggistica nota per la sua forte attenzione alla privacy e alla crittografia end-to-end. L’obiettivo è convincere gli utenti a consegnare spontaneamente una delle informazioni più sensibili del proprio account: la chiave di recupero dei backup.

La storia è venuta a galla il 27 maggio 2026, quando Josh Rogin, un giornalista del Washington Post, ha condiviso su un messaggio che aveva ricevuto. Il messaggio era stato inviato a diverse persone che erano state prese di mira da una campagna. Tra i primi destinatari c’erano attivisti che si opponevano al Partito Comunista Cinese.

In seguito, si è scoperto che il fenomeno potrebbe essere più ampio di quanto inizialmente pensato. Mohammed Al-Maskati, che lavora per Access Now, un’organizzazione che aiuta giornalisti, dissidenti e difensori dei diritti umani che sono stati attaccati online, ha detto che messaggi simili sono stati ricevuti anche da persone che non sono direttamente coinvolte in quella specifica vicenda.

Come funziona l’attacco

Il messaggio arriva apparentemente da un account chiamato “Signal Support”.

L’utente viene informato che l’account sarebbe a rischio di perdita permanente dei dati a causa di un presunto problema di sincronizzazione e per evitare la cancellazione di messaggi e contenuti multimediali viene richiesto di accedere alle impostazioni dell’applicazione, visualizzare la chiave di recupero del backup e copiarla all’interno della conversazione.

L’approccio è semplice ma estremamente efficace, si tratta di una tecnica ben nota nell’ambito dell’ingegneria sociale. Il messaggio combina infatti tre meccanismi psicologici particolarmente efficaci.

Il primo è la cosiddetta Loss Aversion (avversione alla perdita), un principio studiato dalla psicologia cognitiva secondo cui le persone tendono a reagire in modo più intenso alla prospettiva di perdere qualcosa rispetto alla possibilità di ottenere un beneficio equivalente. La minaccia della perdita permanente di anni di conversazioni, fotografie e documenti diventa quindi un potente incentivo all’azione.

Il secondo elemento è il Fear Appeal, ovvero l’utilizzo della paura come leva persuasiva. L’utente viene portato a immaginare uno scenario negativo imminente – la perdita definitiva dei propri dati – aumentando il livello di stress e riducendo la capacità di valutare criticamente la richiesta.

Infine compare il cosiddetto Urgency-Based Phishing. L’attaccante crea un’emergenza artificiale e suggerisce che l’unica soluzione sia agire immediatamente. In queste condizioni la vittima tende a concentrarsi sul problema apparentemente urgente piuttosto che verificare l’identità dell’interlocutore o la legittimità della procedura richiesta.

L’avvertimento era già nella documentazione ufficiale

Nella documentazione ufficiale del servizio compare una FAQ che non lascia spazio a interpretazioni: chiunque contatti un utente all’interno dell’app dichiarando di appartenere al supporto Signal deve essere considerato un tentativo di phishing. È esattamente lo schema osservato nella nuova campagna, dove falsi account “Signal Support” cercano di ottenere le chiavi di recupero dei backup. L’avvertimento era già lì, nero su bianco, molto prima che la campagna diventasse di dominio pubblico.

Perché la Recovery Key è così importante

Per comprendere la gravità della minaccia bisogna capire cosa rappresenta realmente questa chiave.

Signal ha introdotto la funzionalità Secure Backups per consentire agli utenti di archiviare copie crittografate delle proprie conversazioni sui server dell’organizzazione. L’intero archivio viene protetto mediante una chiave di recupero generata sul dispositivo dell’utente.

Secondo la documentazione ufficiale di Signal, questa chiave non viene trasmessa ai server e non è conosciuta dall’organizzazione stessa. Senza di essa nessuno, nemmeno Signal, può accedere al contenuto del backup.

In pratica rappresenta la combinazione della cassaforte che contiene anni di conversazioni, fotografie, documenti e file condivisi.

Se un attaccante riesce a ottenerla e successivamente a prendere il controllo dell’account della vittima, può accedere all’archivio storico delle comunicazioni.

Ed è proprio questo l’aspetto che distingue questa campagna da molti attacchi precedenti.

Non cercano soltanto l’account

Tradizionalmente gli attacchi contro gli utenti Signal avevano l’obiettivo di dirottare l’account per impersonare la vittima o accedere ai contatti.

In quei casi, però, la cronologia passata dei messaggi non risultava normalmente disponibile sul nuovo dispositivo utilizzato dall’attaccante.

La nuova tecnica cerca invece di colpire i backup.

In altre parole, non punta soltanto al presente della comunicazione, ma anche al suo passato.

Per un giornalista, un ricercatore, un attivista o una fonte confidenziale, la cronologia delle conversazioni può avere un valore enorme. È proprio questo patrimonio informativo a rendere particolarmente appetibili le chiavi di recupero dei backup.

La domanda che resta senza risposta

Resta però un interrogativo fondamentale: chi c’è dietro questa campagna?

Le prime segnalazioni pubbliche riguardano attivisti anti-Partito Comunista Cinese, ma casi analoghi sarebbero stati osservati anche al di fuori di questo contesto. Ciò ha inevitabilmente attirato l’attenzione degli analisti. Allo stato attuale, tuttavia, non risultano attribuzioni pubbliche affidabili né elementi tecnici sufficienti per collegare la campagna a uno specifico gruppo criminale o a un attore statuale.

La tecnica utilizzata non richiede malware sofisticati, vulnerabilità zero-day o infrastrutture particolarmente complesse. Al contrario, si basa su una semplice operazione di social engineering che potrebbe essere adottata tanto da gruppi criminali comuni quanto da operatori più strutturati interessati a bersagli specifici.

Per il momento, dunque, l’attribuzione resta aperta.

Ciò che appare evidente è che qualcuno ha individuato nelle chiavi di recupero dei backup di Signal un obiettivo di grande valore e ha scelto di raggiungerlo non attaccando la tecnologia, ma cercando di convincere gli utenti a consegnarle spontaneamente.

L’identità degli autori rimane sconosciuta. La tecnica utilizzata, invece, è ormai sotto gli occhi di tutti.

Simone D'agostino

Nato a Roma, con oltre 35 anni di servizio nella Polizia di Stato, è attualmente Sostituto Commissario e responsabile della SOSC della Polizia Postale di Udine. Esperto in indagini sul web e sul dark web, è appassionato di OSINT, ambito nel quale opera anche come formatore nazionale per la Polizia di Stato. Ha conseguito un Master in Intelligence & ICT presso l’Università di Udine (110 e lode), sviluppando quattro modelli di Intelligenza Artificiale per il contrasto alle frodi sui fondi dell’Unione Europea. È attivamente impegnato nella formazione e nella divulgazione per l’innalzamento del livello di sicurezza cibernetica.

Aree di competenza: Human factor, OSINT & SOCMINT, Cybercrime e indagini sul dark web, Intelligenza artificiale applicata all’analisi, Disinformazione e information warfare