Silhouet van een persoon die in het donker een smartphone vasthoudt
Nieuws27 juni · 02:385 min leestijd

FBI en CISA: Russische hackers phishen nu Signal-backup-sleutels die je hele berichthistorie ontsluiten

Twee Amerikaanse overheidsdiensten waarschuwen dat de Russische inlichtingendienst Signal-gebruikers via phishing hun backup-sleutel ontfutselt, de sleutel waarmee een aanvaller je volledige berichtgeschiedenis op zijn eigen toestel terugzet.

Twee Amerikaanse overheidsdiensten slaan opnieuw alarm over Signal, en deze keer raakt de truc de kern van wat de app belooft. De FBI en CISA waarschuwen dat hackers van de Russische inlichtingendiensten gebruikers via phishing hun Signal-backup-sleutel ontfutselen. Met die ene sleutel kan een aanvaller de versleutelde back-up op zijn eigen toestel terugzetten en zo bij je volledige berichtgeschiedenis en groepsgesprekken.

Wat er nieuw is aan deze aanval

De waarschuwing is een update (alertnummer I-062626-PSA) van een eerdere melding uit maart. Het nieuwe element is een extra stap in de phishing. Na het buitmaken van verificatiecodes vragen de aanvallers nu ook om de backup-sleutel, het herstelcodewoord waarmee Signal een versleutelde back-up kan terugzetten. Daarmee verschuift de aanval van toegang tot een enkel toestel naar volledige overname, inclusief de hele archiefgeschiedenis.

Het venijn zit in de duurzaamheid. De gestolen backup-sleutel blijft geldig, zelfs als het slachtoffer een nieuw account met hetzelfde telefoonnummer aanmaakt, waarschuwt de FBI. Een nieuwe sleutel genereren beschermt alleen toekomstige back-ups; back-ups die al met de oude sleutel zijn opgehaald, blijven voor de aanvaller toegankelijk.

Het logo van berichtenapp Signal: een wit spraakwolkje binnen een onderbroken cirkel op een blauwe achtergrond, Bron: Signal App / Wikimedia Commons (publiek domein)
Het logo van berichtenapp Signal: een wit spraakwolkje binnen een onderbroken cirkel op een blauwe achtergrond, Bron: Signal App / Wikimedia Commons (publiek domein)

Hoe de phishing werkt

De aanvallers doen zich in Signal voor als de officiele support van de app, via twee scenario's. In het eerste claimen ze dat verplichte tweefactorverificatie is ingevoerd na hackpogingen, en vragen ze je een back-up in te schakelen en je herstelsleutel te kopieren. In het tweede waarschuwen ze voor dreigend dataverlies door een synchronisatieprobleem, met het verzoek de herstelsleutel rechtstreeks in het gesprek te plakken.

De rode draad is even simpel als gevaarlijk: een legitieme dienst zal je nooit vragen een code, pincode of herstelsleutel in een chat te plakken. Wie dat eenmaal doorheeft, is tegen deze hele campagne bestand.

Wie erachter zit, en wie het doelwit is

De FBI schrijft de campagne toe aan twee groepen, aangeduid als UNC5792 en UNC4221, met operators van de Russische inlichtingendiensten, waaronder de FSB en het leger. De primaire doelwitten zijn huidige en voormalige Amerikaanse en internationale overheidsfunctionarissen, militairen, politici, journalisten en Oekraiense sleutelfiguren. De eerdere campagne had wereldwijd al duizenden accounts gecompromitteerd.

Nederland is hier al voor gewaarschuwd

Dit is geen ver-van-mijn-bed-show. De Nederlandse inlichtingendiensten waarschuwden in maart al voor dezelfde Russische campagne tegen Signal en WhatsApp, met Nederlandse ambtenaren als doelwit. "Berichtenapps zoals Signal en WhatsApp horen geen kanaal te zijn voor staatsgeheime, vertrouwelijke of gevoelige informatie", aldus MIVD-directeur Peter Reesink destijds. De aanval misbruikt geen lek in de app zelf, maar de mens erachter, en dat maakt elke organisatie die Signal voor gevoelig overleg gebruikt een potentieel doelwit.

Wat dit voor jou betekent

Gebruik je Signal binnen je bedrijf voor gevoelige communicatie, dan is de boodschap helder. De zwakte zit niet in de versleuteling, maar in de social engineering eromheen, precies waarom phishing geen softwareprobleem is maar een procesprobleem dat je verdedigt met je werkwijze, niet met nog een tool. Train iedereen op een vaste regel: codes en herstelsleutels gaan nooit een chat in, ook niet als het bericht van "support" lijkt te komen. Controleer regelmatig je gekoppelde apparaten en verwijder wat je niet herkent. Dat deze truc lijkt op de WhatsApp-phishing die met nep-bedrijfsdocumenten complete pc's overneemt, is geen toeval: de techniek is goedkoop, schaalbaar en mikt steeds op hetzelfde, de mens die even niet oplet.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Je proces als verdediging

Ik help je de zwakste schakel, je mensen en processen, weerbaar te maken tegen dit soort phishing: van meedenken en ontwerp tot het automatiseren van controles en het zelf-hosten van je gevoelige communicatie waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

AIVD en MIVD waarschuwen Nederlandse organisaties voor phishing op Signal-back-ups
Nieuws
4 min

1 jul 06:07

AIVD en MIVD waarschuwen Nederlandse organisaties voor phishing op Signal-back-ups

Vier dagen na de Amerikaanse waarschuwing slaan nu ook de AIVD en MIVD alarm: Russische hackers stelen via nep-supportberichten de herstelsleutel van je Signal-back-up, waarmee ze je volledige berichtgeschiedenis op hun eigen toestel terugzetten.

VS looft 10 miljoen uit voor Russische hackers die Signal en WhatsApp kapen
Nieuws
5 min

30 jun 02:31

VS looft 10 miljoen uit voor Russische hackers die Signal en WhatsApp kapen

Het Amerikaanse Rewards for Justice-programma biedt tot 10 miljoen dollar voor informatie over twee Russische groepen die via social engineering Signal- en WhatsApp-accounts overnemen, een trucendoos die ook gewone bedrijven raakt.

Chatcontrole 1.0 keert terug na stemming Europees Parlement
Nieuws
4 min

9 jul 14:09

Chatcontrole 1.0 keert terug na stemming Europees Parlement

Chatcontrole 1.0 is opnieuw van kracht: het Europees Parlement haalde donderdag te weinig tegenstemmen om het vrijwillig scannen van berichten en webmail te blokkeren. Wat dit raakt en waarom 2.0 nog dreigt.

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.

Metsola wil chatcontrole doordrukken langs een tegenstemmend parlement
Nieuws
4 min

24 jun 18:22

Metsola wil chatcontrole doordrukken langs een tegenstemmend parlement

De voorzitter van het Europees Parlement, Roberta Metsola, probeert de omstreden CSAM-scanwet alsnog door te drukken, ondanks dat het parlement zich er meermaals tegen keerde. Diplomaten noemen de stap ongekend. Wat betekent dat voor je versleutelde bedrijfscommunicatie?

Witte Huis versnelt deadline post-quantumcryptografie: begin nu met de migratie
Nieuws
6 min

24 jun 04:33

Witte Huis versnelt deadline post-quantumcryptografie: begin nu met de migratie

Het Witte Huis tekende Executive Order 14409 en trekt de deadline voor quantumveilige encryptie fors naar voren. Federale diensten en hun leveranciers moeten eind 2030 over zijn. Waarom ook jij nu beter kunt beginnen.