Twee Amerikaanse overheidsdiensten slaan opnieuw alarm over Signal, en deze keer raakt de truc de kern van wat de app belooft. De FBI en CISA waarschuwen dat hackers van de Russische inlichtingendiensten gebruikers via phishing hun Signal-backup-sleutel ontfutselen. Met die ene sleutel kan een aanvaller de versleutelde back-up op zijn eigen toestel terugzetten en zo bij je volledige berichtgeschiedenis en groepsgesprekken.
Wat er nieuw is aan deze aanval
De waarschuwing is een update (alertnummer I-062626-PSA) van een eerdere melding uit maart. Het nieuwe element is een extra stap in de phishing. Na het buitmaken van verificatiecodes vragen de aanvallers nu ook om de backup-sleutel, het herstelcodewoord waarmee Signal een versleutelde back-up kan terugzetten. Daarmee verschuift de aanval van toegang tot een enkel toestel naar volledige overname, inclusief de hele archiefgeschiedenis.
Het venijn zit in de duurzaamheid. De gestolen backup-sleutel blijft geldig, zelfs als het slachtoffer een nieuw account met hetzelfde telefoonnummer aanmaakt, waarschuwt de FBI. Een nieuwe sleutel genereren beschermt alleen toekomstige back-ups; back-ups die al met de oude sleutel zijn opgehaald, blijven voor de aanvaller toegankelijk.

Hoe de phishing werkt
De aanvallers doen zich in Signal voor als de officiele support van de app, via twee scenario's. In het eerste claimen ze dat verplichte tweefactorverificatie is ingevoerd na hackpogingen, en vragen ze je een back-up in te schakelen en je herstelsleutel te kopieren. In het tweede waarschuwen ze voor dreigend dataverlies door een synchronisatieprobleem, met het verzoek de herstelsleutel rechtstreeks in het gesprek te plakken.
De rode draad is even simpel als gevaarlijk: een legitieme dienst zal je nooit vragen een code, pincode of herstelsleutel in een chat te plakken. Wie dat eenmaal doorheeft, is tegen deze hele campagne bestand.
Wie erachter zit, en wie het doelwit is
De FBI schrijft de campagne toe aan twee groepen, aangeduid als UNC5792 en UNC4221, met operators van de Russische inlichtingendiensten, waaronder de FSB en het leger. De primaire doelwitten zijn huidige en voormalige Amerikaanse en internationale overheidsfunctionarissen, militairen, politici, journalisten en Oekraiense sleutelfiguren. De eerdere campagne had wereldwijd al duizenden accounts gecompromitteerd.
Nederland is hier al voor gewaarschuwd
Dit is geen ver-van-mijn-bed-show. De Nederlandse inlichtingendiensten waarschuwden in maart al voor dezelfde Russische campagne tegen Signal en WhatsApp, met Nederlandse ambtenaren als doelwit. "Berichtenapps zoals Signal en WhatsApp horen geen kanaal te zijn voor staatsgeheime, vertrouwelijke of gevoelige informatie", aldus MIVD-directeur Peter Reesink destijds. De aanval misbruikt geen lek in de app zelf, maar de mens erachter, en dat maakt elke organisatie die Signal voor gevoelig overleg gebruikt een potentieel doelwit.
Wat dit voor jou betekent
Gebruik je Signal binnen je bedrijf voor gevoelige communicatie, dan is de boodschap helder. De zwakte zit niet in de versleuteling, maar in de social engineering eromheen, precies waarom phishing geen softwareprobleem is maar een procesprobleem dat je verdedigt met je werkwijze, niet met nog een tool. Train iedereen op een vaste regel: codes en herstelsleutels gaan nooit een chat in, ook niet als het bericht van "support" lijkt te komen. Controleer regelmatig je gekoppelde apparaten en verwijder wat je niet herkent. Dat deze truc lijkt op de WhatsApp-phishing die met nep-bedrijfsdocumenten complete pc's overneemt, is geen toeval: de techniek is goedkoop, schaalbaar en mikt steeds op hetzelfde, de mens die even niet oplet.
Veelgestelde vragen
Je proces als verdediging
Ik help je de zwakste schakel, je mensen en processen, weerbaar te maken tegen dit soort phishing: van meedenken en ontwerp tot het automatiseren van controles en het zelf-hosten van je gevoelige communicatie waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
