Agências de segurança dos Estados Unidos alertaram para uma campanha de phishing conduzida por agentes ligados à inteligência russa com foco em aplicativos de mensagens. O objetivo é assumir o controle de contas em plataformas como WhatsApp e Signal.
Segundo a Agência de Segurança Cibernética e Infraestrutura (CISA) e o Departamento Federal de Investigação (FBI), a operação já resultou no comprometimento de milhares de contas. Os alvos incluem funcionários atuais e ex-integrantes do governo dos EUA, militares, políticos e jornalistas.
smart_display
Nossos vídeos em destaque
O que está acontecendo
De acordo com o diretor do FBI, Kash Patel, os invasores conseguem acessar mensagens, listas de contatos e ainda se passar pelas vítimas. Isso permite expandir o ataque para novos alvos usando relações de confiança já estabelecidas.
A campanha não explora falhas técnicas nas plataformas. Não há quebra de criptografia. O vetor é engenharia social.
){kind=logo}
As mensagens enviadas pelos atacantes simulam alertas de segurança. Elas alegam atividade suspeita ou tentativas de login não reconhecidas. O tom é de urgência, pensado para forçar uma ação rápida sem verificação.
Quem está por trás
As agências não atribuíram oficialmente a operação a um grupo específico. Ainda assim, relatórios anteriores da Microsoft e do Google associam campanhas desse tipo a atores ligados à Rússia.
Entre eles estão Star Blizzard, UNC5792 (também chamado de UAC-0195) e UNC4221 (UAC-0185). Esses grupos já foram observados conduzindo operações de espionagem com foco em coleta de credenciais.
)
Um alerta paralelo na Europa
O movimento não é isolado. Na França, o Centro de Coordenação de Crises Cibernéticas (C4), ligado à ANSSI, identificou um aumento de ataques semelhantes.
Os alvos seguem o mesmo perfil – autoridades governamentais, jornalistas e líderes empresariais. O objetivo também é o mesmo, o acesso a conversas e controle de contas para amplificar ataques.
)
Como o ataque funciona
O método varia, mas segue dois caminhos principais. No primeiro, o invasor se passa por suporte técnico, como um falso “Suporte do Signal”. A vítima é induzida a fornecer o código de verificação ou o PIN da conta.
Nesse cenário, o atacante assume o controle da conta. Ele não acessa mensagens antigas, mas passa a monitorar novas conversas e pode enviar mensagens se passando pela vítima.
No segundo caso, a abordagem envolve links maliciosos ou códigos QR. Ao clicar ou escanear, a vítima vincula sua conta a um dispositivo controlado pelo invasor.
)
Aqui o impacto é maior. O atacante passa a ter acesso completo às mensagens, incluindo o histórico. A vítima continua com acesso à conta, o que dificulta a detecção do comprometimento.
O ataque depende exclusivamente de engenharia social. Ele explora confiança e senso de urgência, não vulnerabilidades técnicas.
Ao sequestrar uma conta legítima, o invasor ganha credibilidade imediata. Isso aumenta a taxa de sucesso de ataques secundários. Na prática, cada conta comprometida vira um novo ponto de disseminação.
Como se proteger
)
As recomendações de segurança seguem princípios básicos, mas críticos.
- Nunca compartilhe códigos de verificação ou PINs. Plataformas legítimas não pedem esse tipo de informação por mensagem;
- Desconfie de contatos inesperados, mesmo que pareçam oficiais. Verifique sempre links antes de clicar;
- Revise periodicamente os dispositivos vinculados à sua conta. Remova qualquer acesso desconhecido;
- O próprio Signal reforçou que não entra em contato com usuários para solicitar códigos. Qualquer mensagem com esse pedido deve ser tratada como fraude.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.
