Waarom Signal-gebruikers worden gehackt (niet de app)

Signals encryptie is prima. Zijn gebruikers zijn het doelwit.

Signal heeft al lang de reputatie het gouden standaard te zijn voor privéberichten. De end-to-end-encryptie is wiskundig solide, de code is open source en het protocol wordt vertrouwd door beveiligingsonderzoekers wereldwijd. Toen er berichten opdoken dat aan Rusland gelinkte hackers er met succes in slagen Signal-accounts van prominente gebruikers te compromitteren, is de voor de hand liggende vraag: is Signal gehackt?

Het korte antwoord is nee. Signals encryptie is niet gekraakt. Wat wél werd gekraakt, is iets wat veel moeilijker te herstellen is: menselijk vertrouwen.

Volgens rapporten gebruiken aanvallers geavanceerde phishingcampagnes om Signal-gebruikers ertoe te verleiden zelf toegang tot hun account te verlenen. De methode houdt doorgaans nep-beveiligingswaarschuwingen in die er overtuigend officieel uitzien, waardoor doelwitten worden aangezet om een nieuw apparaat aan hun account te koppelen. Zodra dat is gebeurd, ontvangt de aanvaller in realtime een live spiegeling van de berichten van het slachtoffer, zonder ooit Signals servers aan te raken of ook maar één regel encryptie te kraken.

Dit is een cruciaal onderscheid. De app is niet de kwetsbaarheid. Het gedrag van de gebruiker is dat.

Hoe de aanval daadwerkelijk werkt

Signal ondersteunt een legitieme functie genaamd gekoppelde apparaten, waarmee gebruikers tegelijkertijd toegang tot hun account kunnen krijgen vanaf meerdere telefoons of computers. Aanvallers misbruiken deze functie door kwaadaardige QR-codes of links te genereren die, wanneer ze worden gescand of aangeklikt, stilletjes het apparaat van de aanvaller aan het account van het slachtoffer toevoegen.

De phishingberichten zijn ontworpen om urgentie te creëren. Ze kunnen beweren dat het account van de gebruiker is gecompromitteerd, dat ze hun identiteit moeten verifiëren, of dat een beveiligingsupdate onmiddellijke actie vereist. Doelwitten van hoge waarde die onder druk staan, handelen sneller en zijn minder geneigd het verzoek zorgvuldig te onderzoeken.

Eenmaal gekoppeld hoeft de aanvaller niets te ontsleutelen. Ze lezen de berichten gewoon zoals ze binnenkomen, in platte tekst, net zoals elk legitiem gekoppeld apparaat dat zou doen. Ze kunnen het slachtoffer ook imiteren in lopende gesprekken, wat ernstige gevolgen heeft voor journalisten, activisten, advocaten, overheidsfunctionarissen en iedereen die gevoelige communicatie beheert.

Dit type aanval wordt soms een social engineering-aanval of een accountovername via geautoriseerde toegang genoemd. Het vereist geen zero-day-exploit, geen serverinbreuk en geen cryptografische kunstgrepen. Het vereist alleen dat het doelwit één fout maakt.

Wat dit voor u betekent

Als u Signal gebruikt omdat u om privacy geeft, moet dit nieuws u niet doen overwegen de app te verlaten. Signal blijft een van de meest betrouwbare berichtenplatforms die beschikbaar zijn, en de onderliggende encryptie blijft berichten beschermen tegen onderschepping tijdens verzending. Maar deze situatie is een herinnering dat encryptie één laag van een beveiligingshouding is, niet het geheel.

Denk er zo over: een kluisdeur is alleen effectief als iemand de sleutel niet overhandigt aan een aanvaller die beweert een slotenmaker te zijn.

Voor de meeste alledaagse gebruikers is het risico van deze specifieke aan Rusland gelinkte campagne laag. De gerapporteerde doelwitten zijn prominente personen, waarschijnlijk mensen die betrokken zijn bij gevoelig politiek, militair of journalistiek werk. Maar de gebruikte tactieken zijn niet exotisch. Phishingaanvallen met nep-beveiligingswaarschuwingen komen voor op elk platform, en de functie voor gekoppelde apparaten is niet uniek voor Signal.

Privacybewuste gebruikers op elk risiconiveau moeten hun berichtenapps behandelen zoals beveiligingsprofessionals elk gevoelig systeem behandelen: met gelaagde verdedigingen en voortdurende bewustwording.

Praktische stappen om uw Signal-account te beschermen

Dit kunt u nu meteen doen om uw blootstelling te verminderen:

Controleer uw gekoppelde apparaten regelmatig. Het instellingenmenu van Signal toont elk apparaat dat momenteel aan uw account is gekoppeld. Als u iets onbekends ziet, verwijder het dan onmiddellijk. Maak dit een routinecontrole, geen eenmalige actie.

Wees diep sceptisch tegenover beveiligingswaarschuwingen. Legitieme apps sturen zelden dringende berichten waarin u wordt gevraagd een QR-code te scannen of op een link te klikken om uw account te verifiëren. Behandel elk dergelijk verzoek standaard als verdacht, ook als het er officieel uitziet.

Schakel Signals registratievergrendeling in. Deze functie vereist een pincode voordat uw account opnieuw kan worden geregistreerd op een nieuw apparaat. Het voegt wrijving toe voor aanvallers die accountovernames proberen uit te voeren.

Bescherm het apparaat zelf. Signals encryptie beschermt berichten tijdens verzending. Als uw telefoon ontgrendeld is en aan iemand wordt overhandigd, of gecompromitteerd is door malware, houdt die bescherming op. Sterke apparaatwachtwoorden, biometrische vergrendelingen en het up-to-date houden van uw besturingssysteem spelen allemaal een rol.

Overweeg uw bredere netwerkbeveiliging. Voor gebruikers die werkelijk gevoelige communicatie beheren, voegt het routeren van verkeer via een betrouwbare VPN een laag van anonimiteit toe die het voor aanvallers moeilijker maakt om uw activiteit te profileren, uw locatie te identificeren of de verkenning uit te voeren die vaak voorafgaat aan gerichte phishing. Een VPN lost phishing niet op, maar het is onderdeel van een gelaagde aanpak die de algehele blootstelling vermindert.

Verifieer via een ander kanaal. Als u een verdacht bericht ontvangt, zelfs van een bekend contact, bevestig het verzoek dan via een volledig afzonderlijk kanaal — een telefoongesprek, een persoonlijk gesprek of een andere app — voordat u actie onderneemt.

De les uit deze Signal-phishingaanvallen is niet dat versleutelde berichten nutteloos zijn. Het is dat geen enkel hulpmiddel een complete oplossing is. Signal beschermt uw berichten uitzonderlijk goed. Uw account beschermen vereist dat u alert blijft op de manieren waarop aanvallers proberen de technologie volledig te omzeilen — door u in plaats daarvan als doelwit te nemen.