Signal- en WhatsApp-accounts van hooggeplaatsten doelwit doelwit van Russische staatshackers

Hiervoor waarschuwen de Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD. De hackers proberen verificatie- en pincodes van gebruikers te achterhalen door zich voor te doen als een supportchatbot van Signal. Daarnaast misbruiken ze de functie voor het koppelen van apparaten (linked devices) in beide apps, waardoor gebruikers vaak niet merken dat hun account op afstand wordt uitgelezen. Eenmaal binnen kunnen de aanvallers berichten en chatgroepen meelezen, met mogelijk toegang tot gevoelige informatie.

Focus op Signal door end-to-end encryptie

De MIVD en AIVD vermoeden dat Signal extra interessant is voor de Russen vanwege de reputatie als betrouwbaar en onafhankelijk communicatiemiddel met end-to-end encryptie. Hierdoor wordt de app veel gebruikt door overheden om communicatie te beschermen, en dus ook als doelwit voor het buitmaken van vertrouwelijke gegevens.

Opvallend is dat de aanvallers geen technische lekken in de apps uitbuiten, maar legitieme beveiligingsfuncties misbruiken. De diensten benadrukken dat waakzaamheid en het volgen van beveiligingsrichtlijnen essentieel zijn om dergelijke aanvallen te voorkomen. Om de weerbaarheid te vergroten, hebben de MIVD en AIVD een Cyberadvies gepubliceerd. Hierin staat hoe gebruikers een aanval kunnen herkennen, wat ze kunnen doen om zich te beschermen en hoe ze kunnen controleren of een contact mogelijk is gecompromitteerd:

"Iedere Signal-gebruiker kan zelf controleren of er mogelijk gecompromitteerde contacten aanwezig zijn in chatgroepen. Ziet u personen in de lijst met groepsleden die er tweemaal in staan, in sommige gevallen met een ietwat afwijkende naam? Dan gaat het mogelijk om zowel het gecompromitteerde account, als het door een slachtoffer nieuw aangemaakte account.

Indien u vermoedt dat dit bij u het geval is, meld dit dan bij de afdeling informatiebeveiliging van uw organisatie. Gezamenlijk kunt u dan proberen te verifiëren bij de eigenaar van het account, bij voorkeur via een ander middel dan Signal of WhatsApp (email/telefonisch), of het klopt dat zijn/haar account tweemaal voorkomt in de chatgroep. Blijkt dit niet te kloppen, probeer dan via de beheerder van de groep beide accounts te laten verwijderen uit de chatgroep, waarna het legitieme account weer toegang kan aanvragen tot de groep.

Wees ook alert op groepsleden die niet door de overige leden worden herkend. De actor wijzigt soms de weergavenaam van het overgenomen account om onopgemerkt te blijven in chatgroepen. Bijvoorbeeld naar namen als 'Deleted account'. Als namen wijzigen, krijgt de groep een melding. In het geval van een legitieme wijziging naar 'Deleted account', krijgt u geen melding.

Door de actor gecontroleerde accounts kunnen bovendien de groep betreden via een buitgemaakte groepslink, hiervan krijgt u altijd een melding. Laat in al deze niet-legitieme gevallen de accounts door de beheerder van de groep verwijderen uit de chatgroep.

Indien het erop lijkt dat de beheerder van de groep zelf mogelijk gecompromitteerd is wordt aangeraden om de groep te verlaten en een nieuwe groep op te zetten."

'Cyberaanvallen steeds vaker gericht op mensen'

Volgens Zahier Madhar, Security Evangelist bij Check Point Software, laat dit incident opnieuw zien dat cyberaanvallen steeds vaker draaien om het manipuleren van mensen in plaats van het breken van technologie. “Apps zoals Signal en WhatsApp zijn technisch zeer goed beveiligd, maar aanvallers richten zich steeds vaker op de zwakste schakel: de gebruiker. In plaats van encryptie te kraken, proberen cybercriminelen of statelijke actoren verificatiecodes of pincodes te bemachtigen via social engineering, bijvoorbeeld door zich voor te doen als een helpdesk of geautomatiseerde supportchat", aldus Madhar.

Volgens hem past deze methode in een bredere trend waarbij geopolitieke actoren, waaronder Rusland, digitale spionage uitvoeren door accounts over te nemen in plaats van systemen te hacken. Madhar: “Het probleem is niet dat de applicatie zelf onveilig is, maar dat een enkel moment van vertrouwen in een misleidend bericht al genoeg kan zijn om een account over te nemen en mee te lezen. Dat maakt dit soort aanvallen moeilijk te detecteren.”

Volgens Madhar ligt de oplossing daarom niet alleen in technologie, maar ook in bewustwording. “Je kunt niet verwachten dat iedere gebruiker een cybersecurityspecialist is. Maar organisaties kunnen wel een basis creëren waarin mensen verdachte verzoeken herkennen en weten dat je nooit zomaar een verificatiecode deelt. Dat soort digitale hygiëne moet net zo normaal worden als je voordeur op slot doen wanneer je weggaat, of een gordel dragen in de auto.”