Signal- en WhatsApp-accounts van hooggeplaatsten doelwit doelwit van Russische staatshackers

Hiervoor waarschuwen de Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD. De hackers proberen verificatie- en pincodes van gebruikers te achterhalen door zich voor te doen als een supportchatbot van Signal. Daarnaast misbruiken ze de functie voor het koppelen van apparaten (linked devices) in beide apps, waardoor gebruikers vaak niet merken dat hun account op afstand wordt uitgelezen. Eenmaal binnen kunnen de aanvallers berichten en chatgroepen meelezen, met mogelijk toegang tot gevoelige informatie.

Focus op Signal door end-to-end encryptie

De MIVD en AIVD vermoeden dat Signal extra interessant is voor de Russen vanwege de reputatie als betrouwbaar en onafhankelijk communicatiemiddel met end-to-end encryptie. Hierdoor wordt de app veel gebruikt door overheden om communicatie te beschermen, en dus ook als doelwit voor het buitmaken van vertrouwelijke gegevens.

Opvallend is dat de aanvallers geen technische lekken in de apps uitbuiten, maar legitieme beveiligingsfuncties misbruiken. De diensten benadrukken dat waakzaamheid en het volgen van beveiligingsrichtlijnen essentieel zijn om dergelijke aanvallen te voorkomen. Om de weerbaarheid te vergroten, hebben de MIVD en AIVD een Cyberadvies gepubliceerd. Hierin staat hoe gebruikers een aanval kunnen herkennen, wat ze kunnen doen om zich te beschermen en hoe ze kunnen controleren of een contact mogelijk is gecompromitteerd:

"Iedere Signal-gebruiker kan zelf controleren of er mogelijk gecompromitteerde contacten aanwezig zijn in chatgroepen. Ziet u personen in de lijst met groepsleden die er tweemaal in staan, in sommige gevallen met een ietwat afwijkende naam? Dan gaat het mogelijk om zowel het gecompromitteerde account, als het door een slachtoffer nieuw aangemaakte account.

Indien u vermoedt dat dit bij u het geval is, meld dit dan bij de afdeling informatiebeveiliging van uw organisatie. Gezamenlijk kunt u dan proberen te verifiëren bij de eigenaar van het account, bij voorkeur via een ander middel dan Signal of WhatsApp (email/telefonisch), of het klopt dat zijn/haar account tweemaal voorkomt in de chatgroep. Blijkt dit niet te kloppen, probeer dan via de beheerder van de groep beide accounts te laten verwijderen uit de chatgroep, waarna het legitieme account weer toegang kan aanvragen tot de groep.

Wees ook alert op groepsleden die niet door de overige leden worden herkend. De actor wijzigt soms de weergavenaam van het overgenomen account om onopgemerkt te blijven in chatgroepen. Bijvoorbeeld naar namen als 'Deleted account'. Als namen wijzigen, krijgt de groep een melding. In het geval van een legitieme wijziging naar 'Deleted account', krijgt u geen melding.

Door de actor gecontroleerde accounts kunnen bovendien de groep betreden via een buitgemaakte groepslink, hiervan krijgt u altijd een melding. Laat in al deze niet-legitieme gevallen de accounts door de beheerder van de groep verwijderen uit de chatgroep.

Indien het erop lijkt dat de beheerder van de groep zelf mogelijk gecompromitteerd is wordt aangeraden om de groep te verlaten en een nieuwe groep op te zetten."