Os serviços de inteligência holandeses AIVD e MIVD alertam que hackers apoiados pelo Estado russo hackers realizando uma campanha em grande escala para invadir contas do Signal e do WhatsApp de alvos de alto valor.
Os alvos são supostamente altos funcionários, militares, servidores públicos e jornalistas. Os invasores não estão quebrando a criptografia de ponta a ponta nem explorando uma vulnerabilidade nos próprios aplicativos. Em vez disso, eles contam com métodos comprovados de phishing e engenharia social para induzir os usuários a fornecer códigos de verificação e PINs ou adicionar um “dispositivo vinculado” malicioso à sua conta.
No ano passado, relatamos sobre o GhostPairing, um método que induz o alvo a concluir o fluxo de emparelhamento de dispositivos do próprio WhatsApp, adicionando silenciosamente o navegador do invasor como um dispositivo vinculado invisível à conta.
Nos casos relatados pelos serviços de inteligência holandeses, os atacantes entraram em contato com as vítimas pelo Signal ou WhatsApp, fingindo ser o “Chatbot de Suporte de Segurança do Signal”, o “Suporte do Signal” ou uma conta oficial semelhante.
A mensagem normalmente alerta sobre atividades suspeitas ou um possível vazamento de dados detectado e instrui o usuário a concluir uma etapa de verificação para evitar a perda de dados ou o bloqueio da conta.
Em seguida, as vítimas são solicitadas a enviar o código de verificação SMS que acabaram de receber e/ou o seu PIN do Signal.
Se a vítima concordar, o invasor pode registrar a conta em um dispositivo que ele controla e efetivamente assumir o controle, recebendo novas mensagens e enviando mensagens como se fosse a vítima.
Em uma segunda variante, os invasores abusam do recurso “dispositivos vinculados” (função de desktop ou outro dispositivo secundário do Signal e do WhatsApp). As vítimas são levadas a clicar em um link ou escanear um código QR que vincula silenciosamente o dispositivo do invasor à conta da vítima. A vítima mantém o acesso normalmente, mas o invasor agora pode ler em tempo real sem sinais óbvios de comprometimento.
Esses ataques não são novos, mas merecem um alerta renovado, pois dependem inteiramente do comportamento humano, e compreender como funcionam torna mais fácil detê-los. Os métodos utilizados não são tecnicamente sofisticados e podem ser facilmente copiados por atores não estatais ou cibercriminosos comuns.
Devido às atuais campanhas russas, a AIVD e a MIVD afirmam que aplicativos de bate-papo como o Signal e o WhatsApp não são adequados para compartilhar informações governamentais classificadas, confidenciais ou sensíveis, mesmo que eles ofereçam suporte técnico para criptografia de ponta a ponta.
Como manter suas conversas confidenciais
Uma advertência específica para os usuários visados é usar aplicativos designados para informações confidenciais. Apesar de muitos deles terem acesso a sistemas seguros dedicados, alguns recorreram a aplicativos que já conheciam — Signal e WhatsApp. E, para ser justo, esses aplicativos são seguros se você seguir algumas regras básicas:
Como prevenir e detectar contas comprometidas
- Nunca compartilhe códigos de verificação ou números PIN. Seu código de verificação por SMS e PIN só são necessários quando você instala ou registra novamente o aplicativo em um dispositivo. Eles nunca são solicitados legitimamente em um chat. Qualquer mensagem no aplicativo, mensagem direta (DM), e-mail ou SMS solicitando que você envie esses códigos é uma tentativa de phishing.
- Não confie em contas de “suporte” no chat. O Signal afirma explicitamente que o Suporte nunca entrará em contato com você por meio de mensagens no aplicativo, SMS ou redes sociais para solicitar seu código de verificação ou PIN. Trate qualquer “Signal Support Bot”, “Security Chatbot” ou similar como malicioso, bloqueie e denuncie e, em seguida, exclua a conversa.
- Tenha cuidado com links e códigos QR em chats. Só digitalize códigos QR ou clique em links de vinculação de dispositivos quando você mesmo estiver no menu de vinculação de dispositivos do aplicativo e tiver iniciado o processo. Se uma mensagem solicitar que você “verifique seu dispositivo” ou “proteja seus dados” por meio de um link ou QR, considere que isso faz parte desta campanha.
- Revise regularmente os dispositivos vinculados e as participações em grupos. No Signal e no WhatsApp, verifique a lista de dispositivos vinculados e remova tudo o que você não reconhecer. Fique atento também a participantes estranhos em grupos ou contatos duplicados (por exemplo, “conta excluída” ou um contato que aparece duas vezes), que os serviços de inteligência holandeses mencionam como possíveis sinais de comprometimento da conta.
- Use recursos de proteção integrados. Ative opções como bloqueio de registro, PIN de registro e alertas de mudança de dispositivo para que sua conta não possa ser registrada novamente sem uma senha extra. Armazene seu PIN em um gerenciador de senhas em vez de escolher algo fácil de adivinhar ou reutilizar um código comum, para reduzir a chance de engenharia social ou espionagem.
Use mensagens que desaparecem
Tanto o Signal quanto o WhatsApp oferecem suporte a mensagens que desaparecem, e usá-las pode limitar significativamente o impacto do comprometimento da conta ou do acesso ao dispositivo (embora não o impeçam completamente).
As mensagens com tempo limitado e as mensagens que desaparecem reduzem a quantidade de conteúdo disponível se um invasor entrar em um chat posteriormente ou se alguém obtiver acesso de longo prazo a um dispositivo ou backup. Elas não são uma solução completa, mas podem limitar os danos.
O Signal permite definir um temporizador por chat para que todas as novas mensagens nessa conversa sejam automaticamente excluídas de todos os dispositivos após o período escolhido. Você pode ativá-lo para chats individuais ou em grupo e escolher entre várias durações (de segundos a semanas), e qualquer uma das partes pode ver que ele está ativado e alterar o temporizador.
O WhatsApp também oferece suporte a mensagens que desaparecem com temporizadores por chat (e uma opção padrão para novos chats). As mensagens podem ser excluídas automaticamente após períodos como 24 horas, 7 dias ou 90 dias, e as versões mais recentes incluem opções mais curtas, como 1 ou 12 horas.
Você o ativa nas informações do chat em “Mensagens que desaparecem” e, em seguida, escolhe o temporizador desejado; apenas as mensagens enviadas após a ativação serão afetadas.
Para mídias ou mensagens de voz particularmente sensíveis, o WhatsApp também oferece fotos, mensagens de voz e vídeos“visualizáveis uma vez”, que só podem ser abertos uma única vez antes de desaparecerem do chat.
Ativar autenticação multifator
Escrevemos um guia completo sobre como configurar a verificação em duas etapas no WhatsApp.
Para configurar a autenticação de dois fatores (2FA) no Signal, habilite o recurso Bloqueio de Registro, que exige que você defina um PIN para fazer login em um novo dispositivo. Abra o Signal, vá paraConfigurações > Privacy Bloqueio de Registroe ative-o. Isso garante que, mesmo que alguém roube seu SIM, não poderá acessar sua conta sem o seu PIN pessoal.
Não nos limitamos a informar sobre privacidade - oferecemos a você a opção de usá-la.
Os riscos Privacy nunca devem ir além de uma manchete. Mantenha sua privacidade on-line usando o Malwarebytes Privacy VPN.
