Phishing Signal nel mirino dei backup: alcuni utenti stanno ricevendo finti messaggi di supporto che chiedono la recovery key. Il rischio è concreto perché quella chiave può servire a ripristinare archivi cifrati con vecchie chat, foto e documenti.
L’attacco segnalato il 27 maggio 2026 usa un copione semplice: avvisa l’utente di un falso problema di sincronizzazione e lo spinge a condividere la chiave di recupero. Signal non contatta gli utenti in chat per chiedere codici, PIN o chiavi private.
Come funziona il phishing Signal sui backup
Il phishing Signal sui backup sfrutta la fiducia nell’app: l’attaccante si finge supporto ufficiale, crea urgenza e chiede la recovery key. Se l’utente la invia, il criminale ottiene un pezzo critico per tentare il ripristino dell’archivio cifrato su un nuovo dispositivo.
La differenza rispetto ad altri furti di account è importante. Se un aggressore registra il tuo numero su un nuovo telefono, di solito non vede la cronologia passata. Con i backup cifrati, invece, l’obiettivo diventa accedere anche ai contenuti già salvati.
La pagina ufficiale sui Signal Secure Backups chiarisce che l’archivio è protetto da una chiave di recupero di 64 caratteri. Senza quella chiave, nessuno, nemmeno Signal, può leggere, decifrare o ripristinare i dati.
Perché la recovery key di Signal non va mai condivisa
La recovery key non è una password da verificare con l’assistenza. È la chiave che sblocca il backup. Se la perdi, Signal non può recuperarla. Se la consegni a un truffatore, gli dai un vantaggio tecnico che può pesare più del furto di un semplice codice SMS.
Signal ribadisce nella guida contro phishing e impersonificazione che il supporto non avvia conversazioni in app e non chiede PIN, codici di registrazione o chiavi di recupero. Qualsiasi chat chiamata Signal Support va quindi trattata come sospetta.
- Non inviare mai recovery key, PIN o codici di registrazione in chat
- Blocca e segnala gli account che si fingono supporto Signal
- Conserva la recovery key in un password manager o su supporto fisico sicuro
- Attiva il Registration Lock per ridurre il rischio di registrazione non autorizzata
Il caso rientra in una tendenza più ampia: gli attacchi non cercano sempre una falla tecnica, ma puntano sulla pressione psicologica. Lo stesso schema si vede nelle campagne di spear phishing con strumenti legittimi e negli attacchi che sfruttano procedure apparentemente normali.
Cosa cambia per chi usa Signal ogni giorno
Per l’utente comune il messaggio è netto: la cifratura funziona solo se la chiave resta privata. Signal può proteggere il backup sui server, ma non può impedire a una persona di consegnare volontariamente la chiave a un impostore.
Il problema riguarda soprattutto giornalisti, attivisti, ricercatori e persone esposte a sorveglianza mirata, ma non solo. Le campagne di social engineering si adattano in fretta, come già visto con ClickFix e l’ingegneria sociale su PowerShell, dove l’utente viene guidato a compiere da solo l’azione rischiosa.
La prossima fase sarà capire se Signal riuscirà a rendere questi tentativi più visibili prima che l’utente cada nel trucco. Fino ad allora, la regola resta una: se qualcuno ti chiede la recovery key, non sta proteggendo il tuo account, sta cercando di entrarci.
