Close-up van een smartphone met WhatsApp geopend op het scherm
Nieuws30 juni · 02:315 min leestijd

VS looft 10 miljoen uit voor Russische hackers die Signal en WhatsApp kapen

Het Amerikaanse Rewards for Justice-programma biedt tot 10 miljoen dollar voor informatie over twee Russische groepen die via social engineering Signal- en WhatsApp-accounts overnemen, een trucendoos die ook gewone bedrijven raakt.

Het Amerikaanse ministerie van Buitenlandse Zaken zet een prijs op het hoofd van twee Russische hackersgroepen die op grote schaal Signal- en WhatsApp-accounts kapen. Via het Rewards for Justice-programma is er tot 10 miljoen dollar te verdienen met informatie die leidt tot de mensen achter UNC5792 en UNC4221, twee groepen die volgens Washington gelieerd zijn aan de Russische inlichtingen- en veiligheidsdiensten, waaronder de FSB en de militaire inlichtingendienst. Het draait niet om een technisch lek in de apps zelf. De aanvallers praten gebruikers hun toegang uit handen.

Niet de versleuteling, maar de mens

Beide groepen mikken op social engineering, niet op de encryptie van de apps. Ze doen zich voor als de officiele helpdesk van Signal of WhatsApp en sturen een bericht dat je een verificatie moet bevestigen. Wie meegaat, geeft verificatiecodes, pincodes of, het gevaarlijkst, de backup-sleutel prijs. Bij Signal manipuleren ze daarnaast echte groepsuitnodigingen, zodat een klik op een ogenschijnlijk legitieme link het account aan een toestel van de aanvaller koppelt. Vanaf dat moment lezen ze de berichtgeschiedenis, de privegesprekken en kunnen ze het account volledig overnemen.

Een buitgemaakte backup-sleutel blijft bovendien geldig, ook als het slachtoffer een nieuw account aanmaakt. Dat maakt deze aanval zo hardnekkig: het wachtwoord resetten is niet genoeg. Pas deze week waarschuwden de FBI en CISA dat dezelfde campagne Signal-gebruikers hun backup-sleutel ontfutselt, waarmee een aanvaller je hele berichtgeschiedenis op een eigen toestel terugzet. De beloning van nu is de volgende stap: de daders zelf in beeld krijgen.

Het logo van de versleutelde berichtenapp Signal, een van de doelwitten van de campagne., bron: Signal App / Wikimedia Commons (Public domain)
Het logo van de versleutelde berichtenapp Signal, een van de doelwitten van de campagne., bron: Signal App / Wikimedia Commons (Public domain)

Wie het doelwit is

De directe slachtoffers zijn overheidsfunctionarissen, militairen (vooral Oekraiense), diplomaten, journalisten, activisten en ngo's in Oekraine, Europa en de Verenigde Staten. Volgens de Amerikaanse overheid zijn al duizenden accounts van commerciele berichtenapps gecompromitteerd. De Rewards for Justice-regeling looft tot 10 miljoen dollar uit voor informatie over UNC5792 en UNC4221 en vraagt expliciet om identiteiten, locaties, gebruikte infrastructuur zoals domeinen en servers, financieringsbronnen en cryptowallets.

Wat dit betekent voor jouw bedrijf

Je bent geen diplomaat, dus waarom zou dit jou raken? Omdat de techniek naar beneden sijpelt. Bijna elke Nederlandse ondernemer gebruikt WhatsApp voor klantcontact en intern overleg, en precies dezelfde trucs (een nep-supportbericht, een verzoek om een code te delen, een extra toestel koppelen) duiken op bij fraude gericht op gewone bedrijven. Een aanvaller die jouw zakelijke WhatsApp koppelt aan zijn telefoon leest mee met elke klant en elke collega, en kan in jouw naam betaalverzoeken sturen.

Drie dingen die vandaag verschil maken. Zet tweestapsverificatie aan met een pincode die je nergens anders gebruikt. Controleer in de app welke gekoppelde apparaten toegang hebben en gooi alles weg wat je niet herkent. En behandel elk bericht dat zich voordoet als "support" en om een code of sleutel vraagt als wat het is: een poging tot inbraak, want geen enkele echte helpdesk vraagt daar ooit om.

De kern is simpel. De sterkste versleuteling ter wereld helpt niet als iemand je de sleutel vrijwillig laat overhandigen. Beveiliging is geen instelling die je een keer aanzet, maar een gewoonte: weet wie er meekijkt, en wantrouw elke onverwachte vraag om toegang.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Veilig werken met je tools

Ik help je je systemen en communicatie zo in te richten dat een phishingtruc geen vrij spel heeft, van toegangsbeheer tot slimme automatisering die verdachte signalen vroeg opmerkt. Van meedenken tot realiseren, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

FBI en CISA: Russische hackers phishen nu Signal-backup-sleutels die je hele berichthistorie ontsluiten
Nieuws
5 min

27 jun 02:38

FBI en CISA: Russische hackers phishen nu Signal-backup-sleutels die je hele berichthistorie ontsluiten

Twee Amerikaanse overheidsdiensten waarschuwen dat de Russische inlichtingendienst Signal-gebruikers via phishing hun backup-sleutel ontfutselt, de sleutel waarmee een aanvaller je volledige berichtgeschiedenis op zijn eigen toestel terugzet.

AIVD en MIVD waarschuwen Nederlandse organisaties voor phishing op Signal-back-ups
Nieuws
4 min

1 jul 06:07

AIVD en MIVD waarschuwen Nederlandse organisaties voor phishing op Signal-back-ups

Vier dagen na de Amerikaanse waarschuwing slaan nu ook de AIVD en MIVD alarm: Russische hackers stelen via nep-supportberichten de herstelsleutel van je Signal-back-up, waarmee ze je volledige berichtgeschiedenis op hun eigen toestel terugzetten.

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op
Nieuws
4 min

1 jul 02:05

VS heft exportblokkade op Anthropics Fable 5 en Mythos 5 volledig op

Iets minder dan drie weken na het exportbevel heft de VS de blokkade op Anthropics krachtigste modellen Fable 5 en Mythos 5 volledig op. Het topmodel keert terug, maar de les over afhankelijkheid blijft staan.

Meta is de enige grote AI-bouwer zonder overheidstoets, en Washington dringt aan
Nieuws
5 min

24 jun 08:50

Meta is de enige grote AI-bouwer zonder overheidstoets, en Washington dringt aan

De Amerikaanse overheid drukt Meta om zijn krachtigste AI-modellen vrijwillig te laten toetsen op veiligheid. OpenAI, Anthropic, Google, Microsoft en xAI gingen al akkoord. Meta is de enige grote aanbieder die nog ontbreekt.

Chatcontrole 1.0 keert terug na stemming Europees Parlement
Nieuws
4 min

9 jul 14:09

Chatcontrole 1.0 keert terug na stemming Europees Parlement

Chatcontrole 1.0 is opnieuw van kracht: het Europees Parlement haalde donderdag te weinig tegenstemmen om het vrijwillig scannen van berichten en webmail te blokkeren. Wat dit raakt en waarom 2.0 nog dreigt.

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden
Signaal
6 min

5 jul 14:54

Digitale soevereiniteit is in Den Haag van praat een breekijzer geworden

In zes weken blokkeerde de staat een Amerikaanse overname, trok DigiD naar een eigen cloud en koos Europees voor zijn supercomputer. Los is het beleid, samen laat het zien dat soevereiniteit van ambitie een instrument werd.