Нидерландские спецслужбы предупредили о глобальной атаке связываемых с Россией хакеров на WhatsApp и Signal

Об этом предупреждают Общая служба разведки и безопасности Нидерландов (AIVD) и военная разведка MIVD, опубликовавшие детальный отчёт о кампании. Речь идёт не о взломе самих приложений или их шифрования, а о целенаправленном обмане пользователей с использованием методов социальной инженерии.

Как пояснили в нидерландской разведке, злоумышленники манипулируют легитимными функциями мессенджеров, чтобы получить контроль над чужими учётными записями. В центре внимания хакеров оказались государственные служащие, включая сотрудников правительства Нидерландов, а также военные и журналисты.

Атака через поддельную техподдержку

Наиболее распространённая схема, о которой рассказывается в отчёте разведки, связана с имитацией официальной поддержки мессенджеров. Пользователь получает сообщение от якобы официального чат-бота с предупреждением о подозрительной активности на устройстве, возможной утечке данных или попытках доступа к приватной переписке.

Жертве предлагают пройти верификацию и отправить код подтверждения, который приходит по SMS. Как только пользователь пересылает этот код, хакер получает возможность зарегистрировать устройство жертвы на своём. После этого атакующий может сменить номер телефона, привязанный к аккаунту, и получить полный доступ к контактам и сообщениям, включая групповые чаты.

Скрытое наблюдение через привязку устройств в WhatsApp

Второй метод, зафиксированный специалистами, эксплуатирует функцию привязки дополнительных устройств. В WhatsApp эта функция называется «Linked devices» и позволяет использовать мессенджер на компьютере или планшете через сканирование QR-кода.

Хакеры отправляют жертве вредоносный QR-код или ссылку под видом приглашения в чат или предложения добавить в друзья. Когда цель сканирует такой код, устройство злоумышленника привязывается к аккаунту жертвы, и атакующий получает доступ ко всем сообщениям в реальном времени. Владелец аккаунта при этом не теряет доступ и может долгое время не подозревать о присутствии постороннего.

В WhatsApp подчеркивают, что пользователям никогда не следует сообщать кому-либо свой шестизначный код подтверждения. В справочном центре мессенджера также объясняется, как проверять список привязанных устройств и распознавать подозрительные сообщения.

Последствия для пользователей Signal

При атаках на Signal после захвата аккаунта владелец обнаруживает, что не может войти в профиль, но может заново зарегистрироваться с тем же номером. Поскольку Signal хранит историю локально на устройстве, после повторной регистрации пользователь восстанавливает доступ к старым сообщениям и может ошибочно решить, что инцидент исчерпан. В AIVD и MIVD предупреждают: такое предположение ошибочно — злоумышленники уже имели доступ к переписке.

Signal на своих официальных каналах подтверждает, что осведомлён о целевых фишинговых атаках, но инфраструктура и шифрование мессенджера не были скомпрометированы.

Как распознать угрозу

Специалисты спецслужб советуют обращать внимание на необычные признаки в групповых чатах: появление «дублей» одного контакта или изменение имени участника на «Deleted account» без системного уведомления. Скомпрометированные учётные записи могут использоваться для дальнейших атак, например, для рассылки вредоносных ссылок контактам жертвы.

Эксперты отмечают, что обычные мессенджеры не рассчитаны на защиту от атак государственного уровня. В отличие от ведомственных систем связи, такие приложения сложнее мониторить на предмет несанкционированного доступа.

Нидерландские спецслужбы призывают не использовать мессенджеры для передачи секретной или чувствительной информации без официального разрешения. Рекомендуется регулярно проверять список привязанных устройств и игнорировать непрошеные приглашения, ссылки или QR-коды до подтверждения их подлинности по альтернативным каналам связи.