Una campagna globale di spionaggio cibernetico attribuita ad hacker legati allo Stato russo starebbe prendendo di mira account Signal e WhatsApp di funzionari governativi, militari e altre figure sensibili.

L’allarme proviene dai servizi di intelligence dei Paesi Bassi, che hanno pubblicato un avviso di sicurezza informatica denunciando tentativi mirati di compromissione degli account personali tramite tecniche di ingegneria sociale. Secondo l’intelligence olandese, l’operazione sfrutterebbe errori o disattenzioni degli utenti, con l’obiettivo di prendere il controllo degli account e accedere alle conversazioni.

L’allerta dei servizi olandesi

L’avviso è stato diffuso lunedì dal servizio di intelligence militare dei Paesi Bassi (Mivd) e dall’agenzia di sicurezza interna (Aivd), che parlano di una campagna su scala globale rivolta a dignitari, funzionari pubblici e membri delle forze armate. Le autorità olandesi avvertono che anche giornalisti e altre figure di rilievo strategico per Mosca potrebbero essere nel mirino, segnalando, invece, che alcuni account di dipendenti governativi potrebbero essere già compromessi.

Non è un attacco alle piattaforme

Entrambe le applicazioni utilizzano infatti il Signal Protocol, uno dei sistemi di cifratura end-to-end più robusti attualmente disponibili per proteggere i contenuti dei messaggi durante la trasmissione. Il punto debole, in questo caso, spiegano gli esperti, non è il sistema di crittografia ma l’accesso diretto all’account dell’utente o al dispositivo. In quel caso i messaggi possono essere letti normalmente. Ecco perché, in questo caso, la tecnica più diffusa e più efficace si configura nell’impersonificazione dell’assistenza clienti.

Gli hacker avviano il normale processo di registrazione dell’account inserendo il numero di telefono della vittima. In automatico, Signal o WhatsApp invia al numero indicato un codice di verifica. Dopodiché, contattano la vittima fingendosi operatori dell’assistenza tecnica e chiedono di condividere quel codice per “verificare” o “proteggere” l’account. A questo punto, se l’utente lo comunica, l’attaccante può completare la registrazione sul proprio dispositivo e assumere il controllo dell’account, leggendo i messaggi o inviandone altri a nome della vittima.

Un’altra tecnica sfrutta la funzione dei “linked devices”, che consente di collegare più dispositivi allo stesso account. Gli aggressori convincono la vittima a scansionare un Qr code malevolo o a cliccare su un link. In questo modo il dispositivo dell’attaccante viene collegato all’account della vittima, ottenendo accesso alla cronologia delle chat e ai messaggi in tempo reale.

I ricercatori di sicurezza di Google avevano già avvertito nel 2024 che l’ampio utilizzo di Signal da parte di soldati, politici e reporter ucraini rendeva la piattaforma un bersaglio privilegiato per operazioni di intelligence russe. In un caso documentato, hacker militari russi avrebbero collegato ai propri sistemi account Signal recuperati da dispositivi catturati sul campo di battaglia, utilizzandoli per ulteriori attività di spionaggio.

Congiuntamente all’allarme, i servizi di intelligence olandesi hanno condiviso anche alcune raccomandazioni di sicurezza, nel tentativo di prevenire possibili ulteriori intrusioni. Tra le indicazioni operative, quelle di non condividere mai codici di verifica o Pin ricevuti via Sms o dall’app; di non scansionare Qr code provenienti da fonti sconosciute e di ignorare messaggi che affermano di provenire dal supporto tecnico di Signal o WhatsApp. Indicazioni semplici ma efficaci, a dimostrazione di come l’anello debole della sicurezza digitale resti spesso il fattore umano.