Het Amerikaanse ministerie van Buitenlandse Zaken zet een prijs op het hoofd van twee Russische hackersgroepen die op grote schaal Signal- en WhatsApp-accounts kapen. Via het Rewards for Justice-programma is er tot 10 miljoen dollar te verdienen met informatie die leidt tot de mensen achter UNC5792 en UNC4221, twee groepen die volgens Washington gelieerd zijn aan de Russische inlichtingen- en veiligheidsdiensten, waaronder de FSB en de militaire inlichtingendienst. Het draait niet om een technisch lek in de apps zelf. De aanvallers praten gebruikers hun toegang uit handen.
Niet de versleuteling, maar de mens
Beide groepen mikken op social engineering, niet op de encryptie van de apps. Ze doen zich voor als de officiele helpdesk van Signal of WhatsApp en sturen een bericht dat je een verificatie moet bevestigen. Wie meegaat, geeft verificatiecodes, pincodes of, het gevaarlijkst, de backup-sleutel prijs. Bij Signal manipuleren ze daarnaast echte groepsuitnodigingen, zodat een klik op een ogenschijnlijk legitieme link het account aan een toestel van de aanvaller koppelt. Vanaf dat moment lezen ze de berichtgeschiedenis, de privegesprekken en kunnen ze het account volledig overnemen.
Een buitgemaakte backup-sleutel blijft bovendien geldig, ook als het slachtoffer een nieuw account aanmaakt. Dat maakt deze aanval zo hardnekkig: het wachtwoord resetten is niet genoeg. Pas deze week waarschuwden de FBI en CISA dat dezelfde campagne Signal-gebruikers hun backup-sleutel ontfutselt, waarmee een aanvaller je hele berichtgeschiedenis op een eigen toestel terugzet. De beloning van nu is de volgende stap: de daders zelf in beeld krijgen.

Wie het doelwit is
De directe slachtoffers zijn overheidsfunctionarissen, militairen (vooral Oekraiense), diplomaten, journalisten, activisten en ngo's in Oekraine, Europa en de Verenigde Staten. Volgens de Amerikaanse overheid zijn al duizenden accounts van commerciele berichtenapps gecompromitteerd. De Rewards for Justice-regeling looft tot 10 miljoen dollar uit voor informatie over UNC5792 en UNC4221 en vraagt expliciet om identiteiten, locaties, gebruikte infrastructuur zoals domeinen en servers, financieringsbronnen en cryptowallets.
Wat dit betekent voor jouw bedrijf
Je bent geen diplomaat, dus waarom zou dit jou raken? Omdat de techniek naar beneden sijpelt. Bijna elke Nederlandse ondernemer gebruikt WhatsApp voor klantcontact en intern overleg, en precies dezelfde trucs (een nep-supportbericht, een verzoek om een code te delen, een extra toestel koppelen) duiken op bij fraude gericht op gewone bedrijven. Een aanvaller die jouw zakelijke WhatsApp koppelt aan zijn telefoon leest mee met elke klant en elke collega, en kan in jouw naam betaalverzoeken sturen.
Drie dingen die vandaag verschil maken. Zet tweestapsverificatie aan met een pincode die je nergens anders gebruikt. Controleer in de app welke gekoppelde apparaten toegang hebben en gooi alles weg wat je niet herkent. En behandel elk bericht dat zich voordoet als "support" en om een code of sleutel vraagt als wat het is: een poging tot inbraak, want geen enkele echte helpdesk vraagt daar ooit om.
De kern is simpel. De sterkste versleuteling ter wereld helpt niet als iemand je de sleutel vrijwillig laat overhandigen. Beveiliging is geen instelling die je een keer aanzet, maar een gewoonte: weet wie er meekijkt, en wantrouw elke onverwachte vraag om toegang.
Veelgestelde vragen
Veilig werken met je tools
Ik help je je systemen en communicatie zo in te richten dat een phishingtruc geen vrij spel heeft, van toegangsbeheer tot slimme automatisering die verdachte signalen vroeg opmerkt. Van meedenken tot realiseren, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
