Holenderskie służby ostrzegają przed przejęciami kont Signal i WhatsApp wymierzonymi w urzędników i dziennikarzy - Security Bez Tabu

Holenderskie służby ostrzegają przed przejęciami kont Signal i WhatsApp wymierzonymi w urzędników i dziennikarzy

Cybersecurity news

Wprowadzenie do problemu / definicja

Holenderskie służby wywiadowcze i bezpieczeństwa ostrzegły przed ukierunkowaną kampanią przejmowania kont w komunikatorach Signal i WhatsApp. W opisywanych incydentach atakujący nie łamią szyfrowania end-to-end ani nie wykorzystują klasycznych podatności w aplikacjach, lecz skupiają się na użytkowniku i jego zaufaniu do pozornie wiarygodnych komunikatów.

Mechanizm działania opiera się głównie na phishingu oraz inżynierii społecznej. Celem jest wyłudzenie kodów weryfikacyjnych, numerów PIN albo nakłonienie ofiary do autoryzacji dodatkowego urządzenia kontrolowanego przez napastnika.

W skrócie

  • Kampania ma charakter ukierunkowany i dotyczy między innymi urzędników, wojskowych oraz dziennikarzy.
  • Atakujący podszywają się pod wsparcie techniczne lub wykorzystują fałszywe procesy weryfikacji konta.
  • Nadużywana jest funkcja podpinania dodatkowych urządzeń w Signal i WhatsApp.
  • Skutkiem może być dostęp do bieżących wiadomości, kontaktów, czatów grupowych oraz możliwość podszywania się pod ofiarę.
  • Ofiara nie zawsze od razu zauważa, że konto zostało przejęte lub że dołączono do niego obce urządzenie.

Kontekst / historia

Ostrzeżenie opublikowane przez holenderskie AIVD i MIVD wskazuje na działania powiązane z rosyjskimi aktorami sponsorowanymi przez państwo. Według służb ofiarami byli również pracownicy administracji publicznej w Holandii, co podkreśla operacyjny i wywiadowczy charakter kampanii.

Zainteresowanie komunikatorami takimi jak Signal i WhatsApp nie jest przypadkowe. Aplikacje te są powszechnie postrzegane jako bezpieczne kanały komunikacji i bywają wykorzystywane do rozmów o podwyższonej wrażliwości, przez co stają się atrakcyjnym celem dla przeciwników prowadzących działania szpiegowskie.

Podobne schematy były obserwowane już wcześniej. Analitycy sektora prywatnego opisywali przypadki nadużywania legalnych funkcji parowania urządzeń w celu uzyskania dostępu do komunikacji ofiar, co pokazuje szerszy trend wykorzystywania mechanizmów wygody użytkownika jako wektora ataku.

Analiza techniczna

Jednym z głównych scenariuszy jest wysyłanie fałszywych wiadomości podszywających się pod oficjalne wsparcie Signal. Ofiara otrzymuje informację o rzekomej podejrzanej aktywności i jest proszona o przejście procedury bezpieczeństwa. W praktyce prowadzi to do ujawnienia kodu SMS lub PIN-u, co umożliwia rejestrację konta na urządzeniu napastnika.

Drugi wariant wykorzystuje funkcję łączenia dodatkowych urządzeń z istniejącym kontem. Napastnik przesyła spreparowany kod QR, odsyłacz lub pozornie niewinną prośbę, która finalnie skutkuje autoryzacją nowego klienta. W efekcie atakujący może monitorować rozmowy bez konieczności pełnego przejmowania konta.

Tego typu operacja jest szczególnie trudna do wykrycia, ponieważ użytkownik często nadal korzysta z komunikatora w zwykły sposób. Równolegle przeciwnik zyskuje jednak wgląd w wiadomości, listę kontaktów i aktywność w czatach grupowych, co znacząco zwiększa wartość operacyjną takiego dostępu.

Holenderskie służby zwróciły uwagę również na nietypowy objaw kompromitacji w Signal. Ten sam kontakt może pojawić się dwukrotnie na liście członków grupy, pod identyczną lub lekko zmodyfikowaną nazwą. Taka anomalia może sugerować wcześniejsze przejęcie konta albo jego ponowną rejestrację po incydencie.

Kluczowe jest to, że kampania nie oznacza kompromitacji infrastruktury Signal czy WhatsApp. Atakujący omijają ochronę kryptograficzną poprzez przejęcie zaufanego punktu końcowego lub wykorzystanie legalnej funkcji aplikacji, a nie przez złamanie samego mechanizmu szyfrowania.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem jest utrata poufności komunikacji. Przeciwnik może czytać nowe wiadomości, analizować relacje między użytkownikami, śledzić dyskusje grupowe i budować obraz operacyjny organizacji lub środowiska zawodowego ofiary.

W przypadku urzędników, wojskowych i dziennikarzy ryzyko obejmuje wyciek informacji wrażliwych, danych kontaktowych, materiałów źródłowych, ustaleń redakcyjnych lub informacji o charakterze operacyjnym. Taki dostęp może być następnie wykorzystany do dalszych działań wywiadowczych lub dezinformacyjnych.

Równie niebezpieczna jest możliwość podszywania się pod przejęte konto. Napastnik może wysyłać wiadomości do współpracowników i kontaktów ofiary, eskalować incydent, rozprzestrzeniać kolejne próby phishingu albo wpływać na decyzje podejmowane na podstawie zaufanej komunikacji.

Dodatkowym problemem pozostaje niski poziom wykrywalności. Jeżeli użytkownik nie zauważy nowych urządzeń, anomalii w grupach lub prób ponownej rejestracji konta, przeciwnik może utrzymywać dostęp przez dłuższy czas.

Rekomendacje

Organizacje powinny traktować komunikatory jako część powierzchni ataku i uwzględniać je w programach bezpieczeństwa. Niezbędne są regularne szkolenia z zakresu phishingu, inżynierii społecznej oraz rozpoznawania prób wyłudzenia kodów weryfikacyjnych i PIN-ów.

  • Nigdy nie należy przekazywać kodów SMS, kodów weryfikacyjnych ani PIN-ów osobom trzecim.
  • Każdą prośbę o dodatkową weryfikację konta trzeba traktować z wysoką ostrożnością.
  • Należy regularnie sprawdzać listę podłączonych urządzeń w Signal i WhatsApp.
  • Nieznane lub nieoczekiwane urządzenia trzeba natychmiast usuwać i zgłaszać incydent do zespołu bezpieczeństwa.
  • Kody QR, zaproszenia do grup i linki należy potwierdzać poza pierwotnym kanałem komunikacji.

W środowiskach o podwyższonym poziomie ryzyka warto ograniczyć użycie popularnych komunikatorów do wymiany informacji szczególnie wrażliwych. Szyfrowanie end-to-end pozostaje ważnym zabezpieczeniem, ale nie eliminuje zagrożeń wynikających z przejęcia konta lub urządzenia końcowego.

Z perspektywy zespołów SOC i IR warto uwzględnić miękkie wskaźniki kompromitacji, takie jak nagłe problemy z rejestracją konta, duplikaty kontaktów w grupach, nietypowe prośby o kody czy zgłoszenia dotyczące podejrzanych kodów QR. W tego rodzaju kampaniach to właśnie takie symptomy mogą być pierwszym sygnałem incydentu.

Podsumowanie

Kampania opisana przez holenderskie służby pokazuje, że bezpieczeństwo komunikatorów nie zależy wyłącznie od jakości szyfrowania. Coraz częściej atakujący wybierają prostszą i skuteczną drogę, czyli manipulację użytkownikiem oraz nadużywanie legalnych funkcji aplikacji.

Dla administracji publicznej, mediów i organizacji operujących na danych wrażliwych oznacza to konieczność rozszerzenia ochrony na obszar mobilnej komunikacji. Największym zagrożeniem nie jest dziś samo złamanie protokołu, lecz przejęcie zaufanego konta i cicha obecność przeciwnika w codziennej komunikacji.

Źródła

  1. AIVD / MIVD – Russia targets Signal and WhatsApp accounts in cyber campaign — https://english.aivd.nl/latest/news/2026/03/09/russia-targets-signal-and-whatsapp-accounts-in-cyber-campaign
  2. BleepingComputer – Dutch govt warns of Signal, WhatsApp account hijacking attacks — https://www.bleepingcomputer.com/news/security/dutch-govt-warns-of-signal-whatsapp-account-hijacking-attacks/
  3. Google Cloud Blog – Signals of Trouble: Multiple Russia-Aligned Threat Actors Actively Targeting Signal Messenger — https://cloud.google.com/blog/topics/threat-intelligence/russia-targeting-signal-messenger
  4. Gen Digital – Q4/2025 Threat Report — https://www.gendigital.com/blog/insights/reports/threat-report-q4-2025