Deutsch
English
Español
Français
Nederlands
Português
Russische hackers richten zich op Signal & WhatsApp: Complete gids voor social engineering-aanvallen
Russische staatshackers hebben met succes Signal- en WhatsApp-accounts van Nederlandse overheidsmedewerkers gecompromitteerd via geavanceerde social engineering-aanvallen die menselijke psychologie uitbuiten in plaats van technische kwetsbaarheden, volgens inlichtingendiensten AIVD en MIVD. De cyberspionagecampagne van 2025 vertegenwoordigt een significante verschuiving in cyberoorlogstactieken, gericht op het menselijke element in beveiligingssystemen in plaats van het kraken van encryptieprotocollen.
Wat zijn smishing- en quishing-aanvallen?
De Russische hackers gebruikten twee primaire tactieken: smishing (SMS-phishing) en quishing (QR-code-phishing). Bij smishing stuurden hackers frauduleuze sms-berichten die zich voordeden als legitieme ondersteuningschatbots van Signal of WhatsApp, waarbij ze gebruikers vroegen beveiligingscodes te bevestigen. Slachtoffers gaven zo onbedoeld volledige controle over hun accounts aan aanvallers. Quishing-aanvallen betroffen kwaadaardige QR-codes die, wanneer gescand, hackers toestonden extra apparaten te koppelen aan slachtoffersaccounts, waardoor ze alle berichten op afstand konden lezen.
Cybersecurity-expert Jort Kollerie, strategisch adviseur bij Orange Cyberdefense, legde de psychologische manipulatie uit: 'De beveiliging is technisch uitstekend, maar dit gaat over het menselijke element. Het doelwit wordt gemanipuleerd. De menselijke psyche wordt bespeeld.' Kollerie vergeleek de tactiek met iemand in een bezorguniform die toegang krijgt tot beveiligde gebouwen – mensen vertrouwen van nature bekende verschijningen en urgente verzoeken.
Hoe de aanvalcampagne werkt
Signal-accountcompromittering
Voor Signal-accounts deden hackers zich voor als het officiële ondersteuningsteam van de app en stuurden berichten die leken te komen van 'Signal Support'. Deze berichten beweerden dat er beveiligingsproblemen waren met het account van de gebruiker en vroegen om SMS-verificatiecodes en PIN-nummers. Eenmaal verkregen, konden aanvallers nieuwe apparaten registreren op het slachtofferaccount, waardoor ze effectief de controle overnamen terwijl de legitieme gebruiker ingelogd bleef op hun originele apparaat.
WhatsApp-accountovername
WhatsApp-aanvallen misbruikten de 'Gekoppelde apparaten'-functie van het platform. Hackers stuurden kwaadaardige QR-codes of links die, wanneer gescand, hen toestonden hun eigen apparaten te verbinden met slachtoffersaccounts. In tegenstelling tot Signal synchroniseert WhatsApp chatgeschiedenis over gekoppelde apparaten, wat betekent dat aanvallers mogelijk toegang hadden tot eerdere gesprekken en realtime berichten.
Psychologische manipulatietechnieken
De hackers gebruikten geavanceerde psychologische tactieken om de natuurlijke voorzichtigheid van gebruikers te omzeilen: angst en urgentie, autoriteitsimitatie, bekende interface en sociale bewijskracht. Kollerie benadrukte dat deze tactieken werken omdat ze fundamenteel menselijk gedrag uitbuiten: 'Het heeft niets te maken met de technische beveiliging van de apps. De beveiliging is uitstekend, maar het gaat om de mens. Ze worden hier gemanipuleerd.'
Impact op nationale veiligheid
De Nederlandse inlichtingendiensten bevestigden dat overheidsmedewerkers, militair personeel en mogelijk journalisten tot de doelwitten behoorden. Hoewel de exacte gecompromitteerde informatie geclassificeerd blijft, is de potentiële schade significant. De Nederlandse cybersecurity-infrastructuur staat voor aanhoudende dreigingen van door staten gesponsorde actoren die gevoelige informatie zoeken over overheidsoperaties, militaire strategieën en diplomatieke communicatie.
De AIVD en MIVD gaven een gezamenlijke Cyber Advisory-waarschuwing uit dat hoewel Signal en WhatsApp end-to-end-encryptie bieden, ze niet gebruikt moeten worden voor geclassificeerde of zeer gevoelige overheidsinformatie. De advisory merkt op dat zodra accounts zijn gecompromitteerd, hackers toegang kunnen krijgen tot binnenkomende berichten, inclusief groepschats, waardoor mogelijk meerdere individuen en organisaties worden blootgesteld.
Beschermingsmaatregelen en best practices
Om te beschermen tegen vergelijkbare aanvallen, raden cybersecurity-experts aan: deel nooit verificatiecodes, verifieer via alternatieve kanalen, schakel extra beveiligingsfuncties in, monitor accountactiviteit en rapporteer verdachte berichten. De Nederlandse diensten raden specifiek aan dat gebruikers letten op tekenen van compromittering, waaronder dubbele accounts in chatgroepen, plotselinge weergavenaamwijzigingen die ze niet hebben gemaakt of onverwachte verzoeken om accounts te verifiëren.
Wereldwijde implicaties en reactie
Deze campagne lijkt deel uit te maken van een bredere wereldwijde operatie gericht op overheidsfunctionarissen, militair personeel en journalisten wereldwijd. De internationale cybersecurity-gemeenschap heeft een toegenomen verfijning in social engineering-aanvallen opgemerkt, waarbij AI-gegenereerde inhoud frauduleuze communicatie steeds moeilijker te onderscheiden maakt van legitieme berichten.
Signal en WhatsApp hebben beide verklaringen uitgegeven waarin ze benadrukken dat hun encryptieprotocollen veilig blijven en dat deze aanvallen gebruikersgedrag uitbuiten in plaats van technische kwetsbaarheden. Beide bedrijven adviseren gebruikers voorzichtig te zijn met onverwachte verificatieverzoeken en officiële ondersteuningskanalen te gebruiken voor hulp.
Veelgestelde vragen
Wat is smishing en quishing?
Smishing is SMS-phishing waarbij aanvallers frauduleuze sms-berichten sturen om slachtoffers te misleiden. Quishing is QR-code-phishing waarbij kwaadaardige QR-codes gebruikers doorverwijzen naar frauduleuze sites of apparaatkoppeling mogelijk maken.
Hoe kan ik zien of mijn Signal- of WhatsApp-account is gecompromitteerd?
Controleer op onbekende gekoppelde apparaten in je app-instellingen, zoek naar dubbele accounts in groepschats en monitor voor berichten die je niet hebt verzonden of weergavenaamwijzigingen die je niet hebt gemaakt.
Moet ik stoppen met het gebruik van Signal en WhatsApp voor gevoelige communicatie?
Hoewel deze apps sterke encryptie bieden, raden de Nederlandse inlichtingendiensten aan dat ze niet gebruikt moeten worden voor geclassificeerde overheidsinformatie. Voor persoonlijke gevoelige communicatie blijven ze veilig als gebruikers de juiste beveiligingspraktijken volgen.
Wat moet ik doen als ik een verdacht verificatieverzoek ontvang?
Reageer niet en deel geen codes. Neem contact op met de dienst via hun officiële website of app met bekende contactmethoden om de legitimiteit van het verzoek te verifiëren.
Zijn deze aanvallen beperkt tot overheidsmedewerkers?
Hoewel overheidsmedewerkers primaire doelwitten lijken te zijn, kunnen vergelijkbare tactieken tegen elke gebruiker worden gebruikt. Alle Signal- en WhatsApp-gebruikers moeten zich bewust zijn van deze social engineering-technieken.
Bronnen
AIVD/MIVD Cyber Advisory
TechCrunch Report
BNR Original Report
Jort Kollerie Cybersecurity Expert
