Raport przygotowały Holenderska Służba Wywiadu i Bezpieczeństwa Obronnego (MIVD) oraz Służba Wywiadu i Bezpieczeństwa Ogólnego (AIVD). Agencje wskazują, że operacja ma charakter globalny i wykorzystuje przede wszystkim techniki phishingu oraz inżynierii społecznej, zamiast klasycznego złośliwego oprogramowania.

Użytkownicy Signala na celowniku rosyjskich hakerów

Jednym z głównych elementów kampanii jest podszywanie się pod zespół wsparcia komunikatora Signal. Hakerzy wysyłają do potencjalnych ofiar wiadomości z informacją o rzekomej podejrzanej aktywności na koncie, możliwym wycieku danych lub próbie uzyskania dostępu do prywatnych informacji. Jeśli użytkownik uwierzy w taką wiadomość, zostanie poproszony o podanie kodu weryfikacyjnego wysłanego SMS-em oraz kodu PIN.

W rzeczywistości hakerzy sami inicjują procedurę logowania do konta ofiary, a zdobyte dane pozwalają im zarejestrować nowe urządzenie powiązane z kontem. W efekcie mogą podszywać się pod właściciela konta i potencjalnie uzyskać dostęp do jego kontaktów. Ofiara zostaje jednocześnie zablokowana na swoim koncie, choć może ponownie zarejestrować numer telefonu.

Eksperci zwracają uwagę na dodatkowy problem: historia czatów w Signal jest przechowywana lokalnie na telefonie. Po ponownym zalogowaniu użytkownik odzyskuje swoje wiadomości i może uznać, że nic się nie stało. Zdaniem holenderskich służb takie założenie może być błędne, ponieważ w międzyczasie konto mogło zostać wykorzystane przez hakerów.

W kampanii wykorzystywane są również inne metody manipulacji. Cyberprzestępcy przesyłają ofiarom kody QR lub linki, które rzekomo mają dodać je do czatu grupowego. W rzeczywistości zeskanowanie kodu lub kliknięcie linku może spowodować powiązanie konta ofiary z urządzeniem napastnika. Dzięki temu przestępcy uzyskują dostęp do komunikatora bez konieczności instalowania dodatkowego oprogramowania.

Zagrożeni są też posiadacze WhatsAppa

Podobna technika stosowana jest w przypadku WhatsAppa. Atakujący wykorzystują funkcję „Połączone urządzenia”, która pozwala korzystać z komunikatora na kilku sprzętach jednocześnie, na przykład na laptopie lub tablecie. Jeśli użytkownik zostanie oszukany i zeskanuje kod lub kliknie odpowiedni link, napastnik może podłączyć swoje urządzenie do jego konta. W przeciwieństwie do Signal istnieje wówczas możliwość odczytania wcześniejszych wiadomości.

Specjaliści podkreślają, że podstawową zasadą bezpieczeństwa jest nieudostępnianie nikomu kodów weryfikacyjnych ani kodów PIN. Dotyczy to zarówno wiadomości SMS, jak i kodów wyświetlanych w aplikacjach. Zespół WhatsApp przypomina również, by zachować ostrożność wobec wiadomości zawierających linki lub kody QR oraz regularnie sprawdzać listę połączonych urządzeń w ustawieniach konta.

Holenderskie służby nie ujawniły szczegółów dotyczących skali operacji ani liczby poszkodowanych. Podkreślają jednak, że część opisanych technik była już wcześniej wykorzystywana przez rosyjskie grupy hakerskie w kontekście wojny przeciwko Ukrainie.