Hackers Ligados à Inteligência Russa Atacam Usuários de WhatsApp e Signal com Phishing

Pesquisadores de segurança identificaram campanhas ativas de phishing conduzidas por grupos de hackers com vínculos comprovados à inteligência russa, mirando especificamente usuários de aplicativos de mensagens criptografadas como WhatsApp e Signal. A conclusão mais importante é direta: a criptografia dessas plataformas permanece intacta. Ninguém está quebrando o protocolo Signal ou o sistema de cifração do WhatsApp. O ataque é contra as pessoas — não contra a tecnologia. ## Os grupos por trás das operações ### Star Blizzard (SEABORGIUM / TA446) Ligado ao FSB russo (Serviço Federal de Segurança), o Star Blizzard é especializado em campanhas de spear-phishing de longo prazo contra jornalistas, ONGs, pesquisadores acadêmicos, ex-funcionários de governo e figuras políticas no Reino Unido, EUA, países bálticos e Ucrânia. O grupo é conhecido pela paciência: constrói relacionamentos durante semanas antes de lançar o ataque. ### UNC5792 e UNC4221 Grupos rastreados pela Mandiant com sobreposição de infraestrutura e técnicas associadas a operações de inteligência russas. Focam em alvos de alto valor: diplomatas, jornalistas investigativos, ativistas e funcionários de organizações internacionais. ## Como os ataques funcionam ### 1. Sequestro via código de verificação O atacante entra em contato fingindo ser suporte do WhatsApp ou Signal, alertando sobre "atividade suspeita" na conta. A vítima é instruída a compartilhar o código de verificação SMS que o aplicativo enviou — exatamente o código que o atacante acabou de solicitar para migrar a conta para um dispositivo sob seu controle. ### 2. QR Codes maliciosos para vinculação de dispositivo Tanto o WhatsApp quanto o Signal permitem vincular dispositivos secundários via QR code. Os atacantes criam páginas falsas de "suporte" ou "verificação de segurança" que exibem um QR code — na verdade, o código de vinculação gerado pelo dispositivo do atacante. A vítima escaneia e, sem perceber, concede acesso completo às suas mensagens em tempo real. ### 3. Impersonação de contatos conhecidos Usando contas comprometidas de pessoas na rede da vítima, os atacantes enviam mensagens que parecem vir de amigos, colegas ou familiares, solicitando um "favor urgente" que inclui compartilhar um código ou clicar em um link. ## O que o atacante obtém Uma vez com acesso à conta: - **Leitura de mensagens históricas**: Dependendo das configurações de backup, conversas anteriores podem ser acessadas - **Monitoramento em tempo real**: Todas as mensagens novas ficam visíveis no dispositivo vinculado - **Lista de contatos**: Mapeamento completo da rede de relacionamentos da vítima - **Lançamento de ataques secundários**: A conta comprometida é usada para atacar os contatos da vítima, que confiam na identidade conhecida - **Coleta de inteligência**: Para alvos de alto valor, o acesso pode durar semanas ou meses antes de ser detectado ## Por que WhatsApp e Signal especificamente? A escolha é estratégica. Ativistas, jornalistas, diplomatas e dissidentes migraram para esses aplicativos exatamente por sua reputação de segurança. A ironia é que a sensação de segurança pode reduzir a vigilância do usuário. Além disso, conversas nessas plataformas tendem a ser mais francas e reveladoras do que e-mails corporativos. ## Como se proteger **Nunca compartilhe códigos de verificação** — nem com pessoas que afirmam ser suporte do WhatsApp, Signal ou qualquer outra plataforma. Nenhum suporte legítimo jamais pedirá isso. **Verifique dispositivos vinculados regularmente** - WhatsApp: Configurações → Dispositivos conectados - Signal: Configurações → Dispositivos vinculados Remova qualquer dispositivo que você não reconheça imediatamente. **Ative o PIN de registro** - No Signal: Configurações → Conta → PIN do Signal - No WhatsApp: Configurações → Conta → Verificação em duas etapas Isso adiciona uma camada de proteção contra sequestro de conta via código SMS. **Desconfie de QR codes de "suporte"** — as plataformas nunca pedem que você escaneie QR codes por iniciativa delas em situações de suporte. **Verifique solicitações incomuns** — se um contato conhecido pedir algo incomum via mensagem, confirme por outro canal (ligação de voz, por exemplo) antes de agir. ## A lição fundamental A criptografia do Signal e do WhatsApp é sólida. Mas criptografia protege dados em trânsito — não protege contra um usuário que voluntariamente concede acesso. O elo mais fraco em qualquer sistema de segurança é o comportamento humano sob pressão, urgência ou confiança mal aplicada. Grupos de inteligência estatais têm recursos, tempo e sofisticação para construir operações de engenharia social altamente convincentes. A melhor defesa é o conhecimento das táticas.