Agências alemãs alertam sobre phishing no Signal mirando políticos, militares e jornalistas

Autoridades de segurança da Alemanha emitiram um alerta sobre uma campanha de phishing dentro do Signal, com foco em alvos de alto valor (políticos, militares, diplomatas e jornalistas investigativos). O ponto central do aviso: o ataque não depende de falhas técnicas no aplicativo — ele explora engenharia social para tomar controle de contas e, por consequência, ganhar acesso a conversas e redes inteiras.

Contexto

Mensageiros como Signal e WhatsApp viraram parte do “canal oficial” de trabalho de muita gente, inclusive em órgãos públicos. Isso aumenta o valor de uma conta comprometida: além de ler mensagens, o atacante pode se passar pela vítima em grupos, coletar contatos e abrir portas para novas abordagens.

O que aconteceu

Segundo o alerta conjunto do BfV (agência de contrainteligência) e do BSI (segurança da informação), há pelo menos duas táticas recorrentes:

• Falso suporte do Signal: o atacante se apresenta como “Signal Support”/“Signal Security ChatBot” e alega um problema de segurança. Em seguida, pede PIN ou código de verificação para “evitar perda de dados”.
• QR code malicioso: o alvo é convencido a escanear um QR “por um motivo legítimo”. Na prática, o código vincula um novo dispositivo à conta. Assim, o invasor consegue acompanhar conversas sem necessariamente derrubar o acesso do usuário imediatamente.

Como funciona / impacto

Quando a vítima entrega um código de verificação ou permite o vínculo de um dispositivo, o atacante passa a operar a conta em um aparelho controlado por ele. Os impactos típicos incluem:

• Leitura de conversas privadas e grupos (incluindo conteúdo sensível);
• Mapeamento de relacionamentos e listas de contatos;
• Envio de mensagens se passando pela vítima (facilitando novas fraudes/espionagem);
• Comprometimento em cadeia: grupos podem virar “alvos secundários” a partir de uma conta tomada.

O que observar (detecção)

• Mensagens inesperadas de suposto “suporte” pedindo PIN, códigos ou ações urgentes;
• Notificações de desregistro do app (em alguns cenários, o usuário percebe rapidamente que perdeu o controle da conta);
• Presença de dispositivos vinculados desconhecidos em Configurações > Dispositivos vinculados;
• Pedidos para escanear QR code fora do fluxo normal de uso (ex.: por mensagem).

Mitigação

• Não compartilhe PINs, códigos de verificação ou tokens por mensagem — suporte legítimo não deveria pedir isso.
• Ative recursos de proteção de conta, como trava de registro (registration lock), quando disponíveis.
• Revise periodicamente a lista de dispositivos vinculados e remova qualquer item suspeito.
• Oriente equipes e pessoas-chave: o ataque é simples, mas funciona porque aciona urgência e autoridade.

Fonte: Help Net Security

Fonte (alerta BSI/BfV): BSI

Fonte da imagem: Help Net Security