Signal uchodzi za jeden z najbezpieczniejszych komunikatorów na świecie — szyfrowanie end-to-end sprawia, że nawet sam operator nie jest w stanie odczytać treści rozmów. Tym ciekawsze jest najnowsze ostrzeżenie FBI i amerykańskiej agencji CISA z 26 czerwca 2026 roku: rosyjskie służby wywiadowcze znalazły sposób, by dobrać się do historii czatów, nie łamiąc szyfrowania ani razu. Zamiast atakować algorytmy, atakują człowieka — i wyłudzają klucz, który Signal wydaje samym użytkownikom.
Na czym polega atak
Cała sztuczka opiera się na klasycznym phishingu. Napastnicy podszywają się pod „zespół wsparcia Signala” i wysyłają wiadomość, w której informują o rzekomej awarii synchronizacji albo o nowym, obowiązkowym mechanizmie weryfikacji dwuetapowej wprowadzanym po fali ataków. Aby „uchronić dane przed utratą”, ofiara ma wejść w ustawienia kopii zapasowej, skopiować swój klucz odzyskiwania (Backup Recovery Key) i wkleić go w odpowiedzi.
To moment, w którym wszystko się rozsypuje. Klucz odzyskiwania to nie zwykłe hasło — to sekret pozwalający odtworzyć całą zaszyfrowaną kopię rozmów. Gdy tylko trafi w ręce napastnika, ten odtwarza kopię na własnym urządzeniu i uzyskuje dostęp do pełnej historii czatów: prywatnych konwersacji, rozmów grupowych i przesyłanych mediów.
Dlaczego to szczególnie podstępne
Według FBI kampania jest dziełem rosyjskich służb (śledzona pod nazwami UNC5792 i UNC4221) i celuje przede wszystkim w osoby o wysokiej wartości wywiadowczej — urzędników, wojskowych, polityków, dziennikarzy oraz osoby związane z Ukrainą. To istotny kontekst także dla nas, bo Polska sąsiaduje z obszarem konfliktu, a takie techniki szybko trafiają do szerszego obiegu przestępczego.
Najbardziej niepokojąca jest jedna właściwość. Jeśli napastnik raz wykradnie klucz, samo utworzenie nowego konta Signal na tym samym numerze telefonu nie unieważnia starego klucza. Skradziona kopia nadal pozostaje możliwa do odtworzenia. Jedynym skutecznym rozwiązaniem jest wygenerowanie zupełnie nowego klucza odzyskiwania w ustawieniach aplikacji, co dopiero wtedy unieważnia poprzedni.
Jak się chronić
Najważniejsza zasada jest prosta: Signal nigdy nie kontaktuje się z użytkownikami jako pierwszy i nigdy nie poprosi o kod rejestracyjny, PIN ani klucz odzyskiwania. Jeśli dostajesz taką wiadomość — nawet jeśli wygląda jak oficjalna — to oszustwo. Nie wykonuj instrukcji i nie wklejaj żadnego klucza.
Warto traktować klucz odzyskiwania jak hasło do sejfu: nie wolno go nikomu pokazywać, fotografować ani trzymać w łatwo dostępnym miejscu. Jeśli istnieje choć cień podejrzenia, że klucz mógł wyciec, należy natychmiast wygenerować nowy. Pomaga też ogólna higiena: włączony blokujący ekran PIN w Signalu, ostrożność wobec wiadomości wywołujących presję czasu („Twoje dane zostaną utracone za godzinę”) oraz weryfikowanie wszelkich komunikatów o „awariach” bezpośrednio w oficjalnych kanałach aplikacji, a nie przez linki czy odpowiedzi na czacie.
Podsumowanie
Ten przypadek dobrze pokazuje, że najmocniejsze szyfrowanie nie ochroni nas, jeśli sami oddamy klucz w cudze ręce. Napastnicy coraz rzadziej łamią technologię, a coraz częściej manipulują ludźmi. Dla użytkownika Signala wniosek jest jeden: żadna prośba o klucz odzyskiwania, PIN czy kod nie jest prawdziwa — niezależnie od tego, jak przekonująco brzmi.