Hackers patrocinados pelo governo russo foram vinculados a uma campanha contínua de phishing no Signal e WhatsApp, que tem como alvo oficiais do governo, militares e jornalistas, com o objetivo de acessar mensagens sensíveis.
O alerta veio dos serviços de inteligência da Holanda — o Netherlands Defence Intelligence and Security Service (MIVD) e o Netherlands General Intelligence and Security Service (AIVD) —, que confirmaram ataques contra funcionários do governo holandês.
Segundo as agências, a operação utiliza técnicas de phishing e engenharia social que exploram funcionalidades legítimas de autenticação para assumir o controle das contas e monitorar discretamente novas mensagens.
O Signal publicou nas redes sociais que está ciente dos ataques direcionados que resultaram na tomada de contas e orientou os usuários a ficarem atentos.
“Estamos cientes de relatos recentes sobre ataques de phishing direcionados que permitiram o controle de contas de alguns usuários do Signal, incluindo autoridades governamentais e jornalistas”, afirmou o Signal no BlueSky.
“Afirmamos com clareza que a criptografia e a infraestrutura do Signal não foram comprometidas e continuam robustas.
Esses ataques são conduzidos por meio de campanhas sofisticadas de phishing, projetadas para enganar os usuários e levá-los a compartilhar informações — como códigos SMS e/ou PIN do Signal — que permitem o acesso às contas.”
O Signal reforça que, ao enviar códigos via SMS, sempre alerta os usuários para não compartilharem esses códigos ou PINs com ninguém, nem mesmo com funcionários ou serviços oficiais.
Um dos principais métodos usados pelos atacantes consiste em se passar por um falso “Signal Security Support Chatbot”, que avisa o usuário sobre supostas atividades suspeitas na conta.
A mensagem exige que o usuário realize um “procedimento de verificação” informando um código enviado ao seu telefone.
“Detectamos atividade suspeita no seu dispositivo, que pode ter causado vazamento de dados.
Também identificamos tentativas de acessar seus dados privados no Signal”, diz a mensagem falsa.
“Para evitar isso, você precisa passar pelo procedimento de verificação, informando o código para o Signal Security Support Chatbot.”
Quando a vítima fornece o código SMS e o PIN do Signal, os invasores conseguem assumir o controle total da conta, registrando-a em seu próprio dispositivo.
O relatório explica que, uma vez com acesso, os atacantes podem alterar o número de telefone associado ao perfil para um sob seu controle.
Assim, obtêm acesso à lista de contatos e mensagens recebidas, inclusive as enviadas em grupos.
Além disso, podem se passar pela vítima ao enviar mensagens a partir da conta comprometida.
Como o histórico das conversas fica armazenado localmente no dispositivo, se a vítima se registra novamente no Signal, ela recupera as mensagens antigas, o que pode levá-la a acreditar que não houve invasão.
“A vítima perde o acesso à sua conta, embora possa criar uma nova usando o mesmo número telefônico, já que o invasor vinculou a conta comprometida a outro número”, alertam as agências holandesas.
“Por armazenar o histórico localmente, o Signal permite que a vítima recupere essas mensagens após um novo registro, criando uma falsa sensação de segurança.
Os serviços de inteligência enfatizam que essa impressão pode ser enganosa.”
O relatório também aponta um segundo método de ataque, que explora a função de device linking do Signal e do WhatsApp.
Nesse caso, os invasores enviam para a vítima um QR code ou link malicioso, disfarçado de convite para participar de um grupo de chat ou conectar-se com outro usuário.
Quando a vítima escaneia o código ou acessa o link, o dispositivo do atacante é vinculado à conta da vítima, em vez do suposto contato legítimo.
Ambos os aplicativos oferecem essa funcionalidade para que usuários possam usar múltiplos dispositivos (como computadores ou tablets) sincronizados à conta principal, geralmente ativada via QR code do dispositivo móvel.
Com o acesso, o invasor pode ler o histórico das conversas, monitorar mensagens em tempo real e enviar mensagens se passando pela vítima.
Diferentemente da tomada total da conta, nesse cenário a vítima geralmente mantém o acesso ao perfil, o que dificulta a detecção da invasão.
As agências holandesas recomendam não compartilhar informações sensíveis ou classificadas por meio de aplicativos de mensagens, salvo quando houver autorização específica.
Também sugerem revisar regularmente a lista de dispositivos vinculados às contas do Signal e WhatsApp, removendo imediatamente os desconhecidos.
Além disso, as precauções contra phishing em e-mails se aplicam igualmente a apps de mensagens: é fundamental ignorar convites, links e QR codes suspeitos que não tenham sido previamente verificados por canais confiáveis.
Esse tipo de campanha não é novidade.
No ano passado, o Google informou que atores russos exploraram recursos como o device linking do Signal para invadir comunicações de usuários.
Em dezembro, a empresa GenDigital identificou uma campanha de phishing via QR code no WhatsApp, direcionada a usuários na República Tcheca, embora sem atribuição a um grupo específico.
Esses ataques reforçam a importância de agir com cautela diante de solicitações suspeitas e adotar práticas sólidas de segurança em aplicativos de mensagens instantâneas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...