De Nederlandse inlichtingendiensten AIVD en MIVD waarschuwen dat door de Russische staat gesteunde hackers een grootschalige campagne hackers om in te breken in Signal- en WhatsApp-accounts van belangrijke doelwitten.
De doelwitten zouden hoge ambtenaren, militairen, ambtenaren en journalisten zijn. De aanvallers breken geen end-to-end-encryptie en maken geen misbruik van kwetsbaarheden in de apps zelf. In plaats daarvan maken ze gebruik van beproefde phishing- en social engineering-methoden om gebruikers te misleiden en hen te laten hun verificatiecodes en pincodes prijsgeven, of om een kwaadaardig 'gekoppeld apparaat' aan hun account toe te voegen.
Vorig jaar berichtten we over GhostPairing, een methode waarmee het doelwit wordt misleid om de apparaatkoppelingsprocedure van WhatsApp te doorlopen, waarbij de browser van de aanvaller stilletjes als een onzichtbaar gekoppeld apparaat aan het account wordt toegevoegd.
In de gevallen die door de Nederlandse inlichtingendiensten zijn gemeld, namen de aanvallers contact op met slachtoffers via Signal of WhatsApp, waarbij ze zich voordeden als "Signal Security Support Chatbot", "Signal Support" of een soortgelijk officieel klinkend account.
Het bericht waarschuwt doorgaans voor verdachte activiteiten of een mogelijk gedetecteerd datalek en instrueert de gebruiker om een verificatiestap uit te voeren om te voorkomen dat gegevens verloren gaan of dat hun account wordt geblokkeerd.
Slachtoffers wordt vervolgens gevraagd om de SMS-verificatiecode die ze zojuist hebben ontvangen en/of hun Signal-pincode terug te sturen.
Als het slachtoffer hieraan meewerkt, kan de aanvaller het account registreren op een apparaat dat hij beheert en het effectief overnemen, waardoor hij nieuwe berichten ontvangt en berichten verstuurt als het slachtoffer.
In een tweede variant misbruiken aanvallers de functie 'gekoppelde apparaten' (de desktop- of andere secundaire apparaatfunctie van Signal en WhatsApp). Slachtoffers worden ertoe aangezet om op een link te klikken of een QR-code te scannen, waardoor het apparaat van de aanvaller stilletjes wordt gekoppeld aan het account van het slachtoffer. Het slachtoffer behoudt zijn normale toegang, maar de aanvaller kan nu in realtime meelezen zonder dat er duidelijke tekenen van compromittering zijn.
Deze aanvallen zijn niet nieuw, maar verdienen een hernieuwde waarschuwing omdat ze volledig afhankelijk zijn van menselijk gedrag. Als je begrijpt hoe ze werken, kun je ze makkelijker stoppen. De gebruikte methoden zijn technisch niet zo geavanceerd en kunnen makkelijk worden gekopieerd door niet-statelijke actoren of gewone cybercriminelen.
Vanwege de huidige Russische campagnes zeggen de AIVD en MIVD dat chat-apps zoals Signal en WhatsApp ongeschikt zijn voor het delen van geheime, vertrouwelijke of anderszins gevoelige overheidsinformatie, ook al ondersteunen ze technisch gezien end-to-end-encryptie.
Hoe u uw gesprekken vertrouwelijk kunt houden
Een specifieke waarschuwing voor de beoogde gebruikers is om voor gevoelige informatie speciale apps te gebruiken. Ondanks dat er voor velen van hen speciale beveiligde systemen beschikbaar zijn, grepen sommigen terug op apps die ze al kenden: Signal en WhatsApp. En eerlijk gezegd zijn deze apps veilig als je een paar basisregels volgt:
Hoe gecompromitteerde accounts te voorkomen en op te sporen
- Deel nooit verificatiecodes of pincodes. Je sms-verificatiecode en pincode zijn alleen nodig wanneer je de app op een apparaat installeert of opnieuw registreert. Ze worden nooit op legitieme wijze gevraagd in een chat. Elk bericht in de app, direct bericht (DM), e-mail of sms waarin je wordt gevraagd deze codes terug te sturen, is een poging tot phishing.
- Vertrouw geen 'support'-accounts in de chat. Signal vermeldt expliciet dat Support nooit contact met u zal opnemen via in-app-berichten, sms of sociale media om uw verificatiecode of pincode te vragen. Beschouw elke 'Signal Support Bot', 'Security Chatbot' of iets dergelijks als kwaadaardig, blokkeer en rapporteer deze en verwijder vervolgens het gesprek.
- Wees voorzichtig met links en QR-codes in chats. Scan alleen QR-codes of klik alleen op links voor het koppelen van apparaten als u zelf in het menu voor het koppelen van apparaten van de app bent en u het proces zelf hebt gestart. Als een bericht u aanspoort om uw apparaat te verifiëren of uw gegevens te beveiligen via een link of QR-code, ga er dan vanuit dat dit deel uitmaakt van deze campagne.
- Controleer regelmatig gekoppelde apparaten en groepslidmaatschappen. Controleer in Signal en WhatsApp de lijst met gekoppelde apparaten en verwijder alles wat u niet herkent. Let ook op vreemde groepsdeelnemers of dubbele contacten (bijvoorbeeld 'verwijderd account' of een contact dat twee keer voorkomt), die door de Nederlandse inlichtingendiensten worden genoemd als mogelijke tekenen van accountcompromittering.
- Gebruik ingebouwde beveiligingsfuncties. Schakel opties in zoals registratieslot, registratie-pincode en waarschuwingen bij apparaatwijzigingen, zodat uw account niet zonder extra geheim opnieuw kan worden geregistreerd. Sla uw pincode op in een wachtwoordbeheerder in plaats van iets te kiezen dat gemakkelijk te raden is of een veelgebruikte code te hergebruiken, om de kans op social engineering of meekijken te verkleinen.
Gebruik verdwijnende berichten
Zowel Signal als WhatsApp ondersteunen verdwijnende berichten, en het gebruik ervan kan de impact van accountcompromittering of apparaattoegang aanzienlijk beperken (hoewel ze dit niet volledig kunnen voorkomen).
Kortstondige en verdwijnende berichten verminderen de hoeveelheid beschikbare inhoud als een aanvaller later in een chat terechtkomt of als iemand langdurig toegang krijgt tot een apparaat of back-up. Ze zijn geen volledige oplossing, maar ze kunnen de schade beperken.
Met Signal kun je een timer per chat instellen, zodat alle nieuwe berichten in dat gesprek na de gekozen periode automatisch van alle apparaten worden verwijderd. Je kunt dit inschakelen voor 1:1- of groepschats en kiezen uit verschillende tijdsduur (seconden tot weken). Beide partijen kunnen zien dat het is ingeschakeld en de timer wijzigen.
WhatsApp ondersteunt ook verdwijnende berichten met timers per chat (en een standaardoptie voor nieuwe chats). Berichten kunnen automatisch worden verwijderd na een bepaalde periode, zoals 24 uur, 7 dagen of 90 dagen, en nieuwere versies bevatten kortere opties, zoals 1 of 12 uur.
Je schakelt deze functie in onder 'Verdwijnende berichten' in de chat-informatie en kiest vervolgens de gewenste timer. Alleen berichten die na het inschakelen worden verzonden, worden hierdoor beïnvloed.
Voor bijzonder gevoelige media of spraakberichten biedt WhatsApp ook'eenmalig te bekijken'foto's, spraakberichten en video's aan, die slechts één keer kunnen worden geopend voordat ze uit de chat verdwijnen.
Multi-factor authenticatie inschakelen
We hebben een complete handleiding geschreven over het instellen van tweestapsverificatie op WhatsApp.
Om tweefactorauthenticatie (2FA) in te stellen op Signal, schakel je de functie Registratieslot in, waarmee je een pincode moet instellen om in te loggen op een nieuw apparaat. Open Signal, ga naarInstellingen > Privacy Registratiesloten schakel deze functie in. Zo weet je zeker dat zelfs als iemand je simkaart steelt, hij of zij geen toegang heeft tot je account zonder je persoonlijke pincode.
We rapporteren niet alleen over privacy - we bieden u optie om er gebruik van te maken.
Privacy 's mogen nooit verder reiken dan een krantenkop. Houd uw online privacy uw door gebruik te maken van Malwarebytes Privacy VPN.
