De MIVD en AIVD waarschuwen voor een actieve Russische hackcampagne op Signal- en WhatsApp-accounts van Nederlandse overheidsmedewerkers, militairen en hoogwaardigheidsbekleders. De aanvallers maken geen gebruik van technische lekken in de apps zelf, maar van legitieme securityfuncties. Ook journalisten kunnen doelwit zijn.
De MIVD en AIVD bevestigen dat Nederlandse overheidsmedewerkers doelwit zijn geweest en in een deel van de gevallen ook slachtoffer zijn geworden. De meest waargenomen aanvalsmethode is dat de hackers zich voordoen als een officiële Support-chatbot van Signal. Via deze nepberichten proberen ze verificatie- en pincodes van slachtoffers te bemachtigen. Met die codes kunnen ze accounts overnemen. Daar stopt het echter niet. De aanvallers maken ook misbruik van de zogeheten ‘linked devices’-functie binnen Signal en WhatsApp, waarmee apparaten aan een account gekoppeld kunnen worden. Slachtoffers merken daardoor vaak niet dat hun account op afstand wordt meegelezen
Zodra een account is overgenomen, kunnen de Russen meelezen met inkomende berichten. Ook chatgroepen waar het slachtoffer aan deelneemt, zijn op die manier kwetsbaar voor afluisteren.
Geen lek in Signal of WhatsApp, wel in accounts
“Chat-applicaties zoals Signal en Whatsapp zijn ondanks dat ze beschikken over end-to-end encryptie, geen kanalen voor gerubriceerde, vertrouwelijke of gevoelige informatie”, benadrukt directeur MIVD viceadmiraal Peter Reesink.
De AIVD wijst erop dat de aanvallen losstaan van eventuele kwetsbaarheden in Signal of WhatsApp als platform. “Het is niet zo dat Signal of Whatsapp als gehele applicatie gecompromitteerd zijn, de dreiging gaat uit naar accounts van individuele gebruikers”, zegt directeur-generaal AIVD Simone Smit.
Signal wordt binnen overheden wereldwijd veelvuldig gebruikt vanwege de reputatie als betrouwbaar en onafhankelijk communicatiemiddel met end-to-end encryptie. Dat maakt het voor aanvallers juist een aantrekkelijk doelwit. De verwachting is dat er gevoelige informatie te vinden is.
De MIVD en AIVD hebben een Cyberadvies gepubliceerd met praktische handelingsperspectieven. Signal-gebruikers kunnen zelf controleren of een contact mogelijk gecompromitteerd is door te kijken of iemand dubbel voorkomt in een chatgroep, soms met een licht afwijkende naam. Verdacht is ook een groepslid met de naam ‘Deleted account’ dat geen melding heeft getriggerd bij de naamswijziging, of een onbekend lid dat via een groepslink is binnengekomen. In al deze gevallen adviseert de AIVD contact op te nemen met de informatiebeveiliging van de eigen organisatie.
Tip: Russische Microsoft-hack had grotere impact dan eerder gedacht