Recentemente, cibercriminosos ligados à Rússia têm utilizado táticas de engenharia social para invadir contas do WhatsApp e Signal de políticos e jornalistas nos Países Baixos. Diferentemente de ataques complexos que envolvem quebra de criptografia, esses hackers exploram a confiança das vítimas para obter acesso a informações sensíveis.
De acordo com as agências de inteligência e segurança militar holandesas (AIVD e MIVD), os oficiais são abordados diretamente via chat. Os criminosos tentam convencê-los a compartilhar códigos de verificação ou PINs, muitas vezes fingindo ser um bot de suporte do Signal. Essa técnica, conhecida como ClickFix, permite que os hackers façam login e monitorem mensagens em tempo real, sem precisar quebrar a criptografia.
Como Funcionam os Ataques
Além do método de engenharia social, os hackers também exploram a ferramenta “Dispositivos Conectados” do Signal. Essa função permite o login de múltiplas contas no mesmo aparelho, espelhando as mensagens da vítima em tempo real. Tanto funcionários do governo neerlandês quanto jornalistas com acesso privilegiado a informações já foram alvos desses ataques.
A Ironia da Criptografia Forte
O Signal é amplamente utilizado por jornalistas e funcionários governamentais devido à sua criptografia robusta. No entanto, ironicamente, essa mesma característica os torna alvos valiosos para golpistas. Uma vez que o hacker obtém acesso à conta, a criptografia não oferece mais proteção, pois as mensagens já estão sendo interceptadas antes de serem criptografadas.
A Meta, responsável pelo WhatsApp, alerta que o código de seis dígitos recebido para login nunca deve ser compartilhado com ninguém. Além disso, o governo dos Países Baixos emitiu orientações para identificar possíveis invasões, como contatos subitamente aparecendo duas vezes em uma lista ou números aparecendo como “conta deletada” de repente.
É importante ressaltar que, embora esses aplicativos ofereçam criptografia forte, eles não devem ser considerados sistemas de comunicação confidenciais para conversas sigilosas. A vigilância e a educação sobre engenharia social são essenciais para prevenir tais ataques.
Como se Proteger de Ataques de Engenharia Social
- Nunca compartilhe códigos de verificação ou PINs com terceiros.
- Verifique a autenticidade de solicitações de suporte técnico.
- Monitore regularmente seus dispositivos conectados em aplicativos de mensagens.
- Utilize autenticação de dois fatores sempre que possível.
A conscientização sobre essas táticas é fundamental para proteger informações sensíveis e evitar que hackers russos ou outros cibercriminosos tenham sucesso em seus ataques.