O Escritório Federal de Proteção da Constituição e o Escritório Federal de Segurança da Informação da Alemanha alertaram que atores ligados a estados estão mirando em contas de alto perfil no Signal, o serviço de mensagens criptografadas. As conclusões vêm de um relatório conjunto das duas autoridades de segurança alemãs sobre ameaças contra figuras políticas, jornalistas, ativistas e outras pessoas de contato público.
As agências disseram que os atacantes estão tentando acessar contas manipulando processos de autenticação em vez de quebrar a criptografia da Signal. Os métodos relatados incluem mensagens de phishing, engenharia social e tentativas de enganar usuários para compartilharem códigos de registro ou verificação vinculados às suas contas.
Segundo as autoridades alemãs, alguns ataques envolvem mensagens ou ligações falsas que parecem vir de contatos confiáveis ou provedores de serviços. Essas mensagens pedem aos alvos que forneçam códigos sensíveis ao tempo ou sigam instruções de login. Se um código for compartilhado, os atacantes podem registrar o número de telefone da vítima em outro dispositivo e assumir o controle da conta.
O relatório afirma que essas campanhas focam em indivíduos cujas comunicações podem ter valor político ou informativo. Os alvos incluem pessoas envolvidas no governo, mídia, sociedade civil e assuntos internacionais. As agências não divulgaram publicamente vítimas específicas.
O Signal utiliza criptografia de ponta a ponta para que as mensagens possam ser lidas apenas pelo remetente e pelo destinatário. As autoridades alemãs disseram que os ataques observados não quebram essa criptografia, mas sim exploram recursos de confiança dos usuários e recuperação de contas. Nesse modelo, o ponto mais fraco é o tratamento das credenciais de autenticação.
O Escritório Federal de Segurança da Informação recomendou aos usuários que tratassem os códigos de verificação como confidenciais e não os compartilhassem com ninguém. Também recomendava habilitar segurança adicional dos dispositivos, como bloqueios de tela, e manter o software atualizado. O Escritório Federal para a Proteção da Constituição afirmou que a conscientização sobre táticas de engenharia social é importante para pessoas em cargos sensíveis.
As agências descreveram a atividade como parte de esforços mais amplos de cibersegurança e inteligência por atores estatais estrangeiros. Eles disseram que tais operações frequentemente combinam métodos técnicos e psicológicos para obter acesso às comunicações.
Nenhuma fraqueza na criptografia central da Signal foi relatada em conexão com esses incidentes. O alerta foca no comprometimento em nível de conta por meio de engano, em vez de falhas no protocolo de mensagens.