Deutsch
English
Español
Français
Nederlands
Português
Hackers Russos Atacam Signal e WhatsApp: Guia Completo de Ataques de Engenharia Social
Hackers estatais russos comprometeram com sucesso contas do Signal e WhatsApp de funcionários do governo holandês por meio de ataques sofisticados de engenharia social que exploram a psicologia humana em vez de vulnerabilidades técnicas, de acordo com as agências de inteligência AIVD e MIVD. A campanha de espionagem cibernética de 2025 representa uma mudança significativa nas táticas de guerra cibernética, visando o elemento humano nos sistemas de segurança em vez de tentar quebrar protocolos de criptografia.
O Que São Ataques de Smishing e Quishing?
Os hackers russos empregaram duas táticas principais: smishing (phishing por SMS) e quishing (phishing por QR code). Em ataques de smishing, hackers enviaram mensagens de texto fraudulentas se passando por chatbots de suporte legítimos do Signal ou WhatsApp, solicitando que os usuários confirmassem códigos de segurança. Quando as vítimas cumpriram, inadvertidamente deram aos atacantes controle total sobre suas contas. Ataques de quishing envolveram códigos QR maliciosos que, quando escaneados, permitiram que hackers vinculassem dispositivos adicionais às contas das vítimas, permitindo que lessem todas as mensagens remotamente.
O especialista em cibersegurança Jort Kollerie, consultor estratégico da Orange Cyberdefense, explicou a manipulação psicológica: 'A segurança é tecnicamente excelente, mas isso é sobre o elemento humano. O alvo está sendo manipulado. A psique humana está sendo manipulada.' Kollerie comparou a tática a alguém em uniforme de entrega ganhando acesso a edifícios seguros – as pessoas naturalmente confiam em aparências familiares e pedidos urgentes.
Como Funciona a Campanha de Ataque
Comprometimento de Conta do Signal
Para contas do Signal, hackers se passaram pela equipe de suporte oficial do aplicativo, enviando mensagens que pareciam vir do 'Suporte do Signal'. Essas mensagens alegavam que havia problemas de segurança com a conta do usuário e solicitavam códigos de verificação por SMS e números PIN. Uma vez obtidos, os atacantes podiam registrar novos dispositivos na conta da vítima, efetivamente assumindo o controle enquanto o usuário legítimo permanecia conectado em seu dispositivo original.
Tomada de Conta do WhatsApp
Ataques ao WhatsApp exploraram o recurso 'Dispositivos Vinculados' da plataforma. Hackers enviaram códigos QR ou links maliciosos que, quando escaneados, permitiram que conectassem seus próprios dispositivos às contas das vítimas. Diferente do Signal, o WhatsApp sincroniza o histórico de bate-papo entre dispositivos vinculados, o que significa que os atacantes poderiam acessar conversas passadas e mensagens em tempo real.
Técnicas de Manipulação Psicológica
Os hackers empregaram táticas psicológicas sofisticadas para contornar a cautela natural dos usuários: medo e urgência, impersonificação de autoridade, interface familiar e prova social. Kollerie enfatizou que essas táticas funcionam porque exploram comportamentos humanos fundamentais: 'Não tem nada a ver com a segurança técnica dos aplicativos. A segurança é excelente, mas é sobre o humano. Eles estão sendo manipulados aqui.'
Impacto na Segurança Nacional
Os serviços de inteligência holandeses confirmaram que funcionários do governo, pessoal militar e potencialmente jornalistas estavam entre os alvos. Embora as informações exatas comprometidas permaneçam classificadas, o dano potencial é significativo. A infraestrutura de cibersegurança holandesa enfrenta ameaças contínuas de atores patrocinados pelo estado que buscam informações sensíveis sobre operações governamentais, estratégias militares e comunicações diplomáticas.
O AIVD e o MIVD emitiram um Aviso Cibernético conjunto alertando que, embora o Signal e o WhatsApp ofereçam criptografia de ponta a ponta, eles não devem ser usados para informações governamentais classificadas ou altamente sensíveis. O aviso observa que, uma vez que as contas são comprometidas, hackers podem acessar mensagens recebidas, incluindo bate-papos em grupo, potencialmente expondo múltiplos indivíduos e organizações.
Medidas de Proteção e Melhores Práticas
Para se proteger contra ataques semelhantes, especialistas em cibersegurança recomendam: nunca compartilhar códigos de verificação, verificar por canais alternativos, habilitar recursos de segurança adicionais, monitorar a atividade da conta e relatar mensagens suspeitas. As agências holandesas recomendam especificamente que os usuários fiquem atentos a sinais de comprometimento, incluindo contas duplicadas aparecendo em grupos de bate-papo, mudanças repentinas de nome de exibição que não fizeram ou solicitações inesperadas para verificar contas.
Implicações Globais e Resposta
Esta campanha parece ser parte de uma operação global mais ampla visando funcionários do governo, pessoal militar e jornalistas em todo o mundo. A comunidade internacional de cibersegurança observou aumento na sofisticação dos ataques de engenharia social, com conteúdo gerado por IA tornando comunicações fraudulentas cada vez mais difíceis de distinguir de mensagens legítimas.
O Signal e o WhatsApp emitiram declarações enfatizando que seus protocolos de criptografia permanecem seguros e que esses ataques exploram o comportamento do usuário em vez de vulnerabilidades técnicas. Ambas as empresas aconselham os usuários a serem cautelosos com qualquer solicitação de verificação inesperada e a usarem canais de suporte oficiais para assistência.
Perguntas Frequentes
O que é smishing e quishing?
Smishing é phishing por SMS onde atacantes enviam mensagens de texto fraudulentas para enganar vítimas. Quishing é phishing por QR code onde códigos QR maliciosos redirecionam usuários para sites fraudulentos ou permitem vinculação de dispositivos.
Como posso saber se minha conta do Signal ou WhatsApp foi comprometida?
Verifique dispositivos vinculados não familiares nas configurações do aplicativo, procure contas duplicadas em bate-papos em grupo e monitore mensagens que não enviou ou mudanças de nome de exibição que não fez.
Devo parar de usar Signal e WhatsApp para comunicações sensíveis?
Embora esses aplicativos ofereçam criptografia forte, os serviços de inteligência holandeses recomendam que não sejam usados para informações governamentais classificadas. Para comunicações pessoais sensíveis, eles permanecem seguros se os usuários seguirem práticas de segurança adequadas.
O que devo fazer se receber uma solicitação de verificação suspeita?
Não responda ou compartilhe códigos. Entre em contato com o serviço por meio de seu site oficial ou aplicativo usando métodos de contato conhecidos para verificar a legitimidade da solicitação.
Esses ataques são limitados a funcionários do governo?
Embora funcionários do governo pareçam ser alvos primários, táticas semelhantes poderiam ser usadas contra qualquer usuário. Todos os usuários do Signal e WhatsApp devem estar cientes dessas técnicas de engenharia social.
Fontes
Aviso Cibernético AIVD/MIVD
Relatório TechCrunch
Relatório Original BNR
Especialista em Cibersegurança Jort Kollerie
