Os serviços secretos holandeses AIVD e MIVD alertam que hackers apoiados pelo Estado russo hackers a realizar uma campanha em grande escala para invadir contas do Signal e do WhatsApp de alvos de alto valor.
Os alvos são supostamente altos funcionários, militares, funcionários públicos e jornalistas. Os atacantes não estão a quebrar a criptografia de ponta a ponta nem a explorar uma vulnerabilidade nas próprias aplicações. Em vez disso, eles recorrem a métodos comprovados de phishing e engenharia social para induzir os utilizadores a fornecer códigos de verificação e PINs, ou a adicionar um «dispositivo vinculado» malicioso à sua conta.
No ano passado, relatámos sobre o GhostPairing, um método que induz o alvo a concluir o fluxo de emparelhamento de dispositivos do próprio WhatsApp, adicionando silenciosamente o navegador do invasor como um dispositivo vinculado invisível à conta.
Nos casos relatados pelos serviços de inteligência holandeses, os atacantes contactavam as vítimas pelo Signal ou WhatsApp, fingindo ser o «Chatbot de Suporte de Segurança do Signal», o «Suporte do Signal» ou uma conta oficial semelhante.
A mensagem normalmente alerta sobre atividades suspeitas ou um possível vazamento de dados detectado e instrui o utilizador a concluir uma etapa de verificação para evitar a perda de dados ou o bloqueio da conta.
Em seguida, as vítimas são solicitadas a enviar o código de verificação SMS que acabaram de receber e/ou o seu PIN do Signal.
Se a vítima concordar, o invasor pode registar a conta num dispositivo que controla e assumir o controlo, recebendo novas mensagens e enviando mensagens como se fosse a vítima.
Numa segunda variante, os atacantes abusam do recurso «dispositivos ligados» (função de desktop ou outro dispositivo secundário do Signal e do WhatsApp). As vítimas são levadas a clicar num link ou a digitalizar um código QR que liga silenciosamente o dispositivo do atacante à conta da vítima. A vítima mantém o acesso normal, mas o atacante agora pode ler em tempo real sem sinais óbvios de comprometimento.
Esses ataques não são novos, mas merecem um novo alerta, pois dependem inteiramente do comportamento humano, e compreender como funcionam torna mais fácil detê-los. Os métodos utilizados não são tecnicamente sofisticados e podem ser facilmente copiados por atores não estatais ou cibercriminosos comuns.
Devido às atuais campanhas russas, a AIVD e a MIVD afirmam que aplicações de chat como o Signal e o WhatsApp não são adequadas para partilhar informações governamentais classificadas, confidenciais ou sensíveis, mesmo que tecnicamente suportem encriptação de ponta a ponta.
Como manter as suas conversas confidenciais
Um aviso específico para os utilizadores visados é usar aplicações designadas para informações confidenciais. Apesar de muitos deles terem acesso a sistemas seguros dedicados, alguns recorreram a aplicações que já conheciam — Signal e WhatsApp. E, para ser justo, essas aplicações são seguras se você seguir algumas regras básicas:
Como prevenir e detetar contas comprometidas
- Nunca partilhe códigos de verificação ou números PIN. O seu código de verificação SMS e PIN só são necessários quando instala ou volta a registar a aplicação num dispositivo. Nunca são solicitados legitimamente numa conversa. Qualquer mensagem na aplicação, mensagem direta (DM), e-mail ou SMS a pedir-lhe para enviar esses códigos é uma tentativa de phishing.
- Não confie em contas de «suporte» no chat. O Signal afirma explicitamente que o Suporte nunca entrará em contacto consigo através de mensagens na aplicação, SMS ou redes sociais para solicitar o seu código de verificação ou PIN. Trate qualquer «Signal Support Bot», «Security Chatbot» ou similar como malicioso, bloqueie e denuncie-o e, em seguida, elimine a conversa.
- Tenha cuidado com links e códigos QR em chats. Só digitalize códigos QR ou clique em links de ligação de dispositivos quando estiver no menu de ligação de dispositivos da aplicação e tiver iniciado o processo. Se uma mensagem o levar a «verificar o seu dispositivo» ou «proteger os seus dados» através de um link ou QR, considere que faz parte desta campanha.
- Revise regularmente os dispositivos ligados e as participações em grupos. No Signal e no WhatsApp, verifique a lista de dispositivos ligados e remova tudo o que não reconhecer. Fique também atento a participantes estranhos em grupos ou contactos duplicados (por exemplo, «conta eliminada» ou um contacto que aparece duas vezes), que os serviços de inteligência holandeses mencionam como possíveis sinais de comprometimento da conta.
- Use recursos de fortalecimento integrados. Ative opções como bloqueio de registo, PIN de registo e alertas de alteração de dispositivo para que a sua conta não possa ser registada novamente sem uma senha extra. Armazene o seu PIN em um gerenciador de senhas em vez de escolher algo fácil de adivinhar ou reutilizar um código comum, para reduzir a chance de engenharia social ou espionagem.
Use mensagens que desaparecem
Tanto o Signal quanto o WhatsApp suportam mensagens que desaparecem, e usá-las pode limitar significativamente o impacto do comprometimento da conta ou do acesso ao dispositivo (embora não o impeçam completamente).
As mensagens com tempo limitado e as mensagens que desaparecem reduzem a quantidade de conteúdo disponível se um invasor entrar numa conversa posteriormente ou se alguém obtiver acesso prolongado a um dispositivo ou backup. Elas não são uma solução completa, mas podem limitar os danos.
O Signal permite definir um temporizador por chat para que todas as novas mensagens nessa conversa sejam automaticamente eliminadas de todos os dispositivos após o período escolhido. Pode ativá-lo para chats individuais ou em grupo e escolher entre vários períodos de tempo (de segundos a semanas), e qualquer uma das partes pode ver que está ativado e alterar o temporizador.
O WhatsApp também suporta mensagens que desaparecem com temporizadores por chat (e uma opção padrão para novos chats). As mensagens podem ser apagadas automaticamente após períodos como 24 horas, 7 dias ou 90 dias, e as versões mais recentes incluem opções mais curtas, como 1 ou 12 horas.
Ative-o nas informações do chat em «Mensagens que desaparecem» e selecione o temporizador desejado; apenas as mensagens enviadas após a ativação serão afetadas.
Para mensagens de mídia ou de voz particularmente sensíveis, o WhatsApp também oferece fotos, mensagens de voz e vídeos"visualizar uma vez", que só podem ser abertos uma única vez antes de desaparecerem do chat.
Ativar autenticação multifator
Escrevemos um guia completo sobre como configurar a verificação em duas etapas no WhatsApp.
Para configurar a autenticação de dois fatores (2FA) no Signal, ative o recurso Bloqueio de registo, que exige que você defina um PIN para fazer login em um novo dispositivo. Abra o Signal, vá paraConfigurações > Privacy Bloqueio de registoe ative-o. Isso garante que, mesmo que alguém roube o seu cartão SIM, não poderá aceder à sua conta sem o seu PIN pessoal.
Não nos limitamos a informar sobre a privacidade - oferecemos-lhe a opção de a utilizar.
Os riscos para Privacy nunca devem ir além de uma manchete. Mantenha a sua privacidade online utilizando o Malwarebytes Privacy VPN.
