Nieuws
image

Signal: waakzaamheid van gebruikers is beste verdediging tegen phishing

dinsdag 10 maart 2026, 09:26 door Redactie, 18 reacties

Waakzaamheid van gebruikers is de beste verdediging tegen phishing, zo stelt chatapp Signal in een reactie op berichtgeving dat Signal- en WhatsApp-accounts van Nederlandse ambtenaren via gerichte phishingaanvallen zijn gehackt. Bij de aanvallen proberen aanvallers verificatie- en pincodes van gebruikers te ontfutselen.

"De meest waargenomen werkwijze van de Russische hackers is dat ze zich voordoen als een Support-chatbot van Signal. Op die manier proberen ze codes van hun doelwitten te bemachtigen. Daarmee kunnen ze het account van de gebruiker overnemen", aldus de AIVD en MIVD in een gisteren verschenen waarschuwing. Daarin werd ook gesteld dat Signal en WhatsApp niet geschikt zijn om gevoelige informatie uit te wisselen.

Signal bevestigt de beschreven werkwijze van de aanvallers. "Deze aanvallen, net als alle phishing, maken gebruik van social engineering. Aanvallers doen zich voor als vertrouwde contacten of diensten (zoals de niet-bestaande "Signal Support Bot") om slachtoffers te verleiden om hun inloggegevens en andere informatie te overhandigen." De chatapp stelt dat personen die om Signal-gerelateerde codes vragen altijd oplichters zijn.

Afsluitend laat Signal in de reactie weten dat het werkt aan robuuste technische beveiligingsmaatregelen, bijvoorbeeld via het ontwerp van de interface en andere waarschuwingen, maar waakzaamheid van gebruikers uiteindelijk de beste verdediging tegen phishing is.

Image

Reacties (18)
Reageer met quote
10-03-2026, 09:34 door Anoniem
In de UI wordt dit ook gewoon aangegeven als een nieuw, onvertrouwd contact. Het contact noemt zich dan wel "Signal Support" maar er staat letterlijk "Review carefully", "Profile names are not verified" onder.
Reageer met quote
10-03-2026, 09:49 door Anoniem
Al die ophef over Signal; is mijns inziens -alle pro's en cons in overweging nemend- nog steeds het beste WA alternatief. Zo staat deze donkerblauwe parel nog steeds in de top 3 van de Apple appstore.

Sommige domme Signal gebruikers wanen zich nu eenmaal veilig en versluieren zo hun digitale alertheid.
Fraudehelpdesk met zijn links dus regelmatig grondig raadplegen en de adviezen aldaar direct en consequent TOEPASSEN !

Hoe moeilijk kan dat nou zijn...
Reageer met quote
10-03-2026, 10:35 door Anoniem
Volgens Lodi Hensen van beveiligingsbedrijf Eye Security is het terecht dat vooral Signal een goede reputatie heeft: de organisatie gaat zorgvuldig met de gegevens van gebruikers om en slaat erg weinig op. Ook staat de applicatie bekend als zeer betrouwbaar als het gaat om privacy. “Maar als gebruiker heb je maar een moment van onoplettendheid nodig – als je haast hebt en net dringend een bericht wilt sturen bijvoorbeeld – om in de door de diensten genoemde aanval te trappen.”

https://www.trouw.nl/binnenland/inlichtingendiensten-rusland-las-mee-op-nederlandse-whatsapp-en-signal-accounts~b1fbab3b/
Reageer met quote
10-03-2026, 11:43 door _R0N_
Zoals bij de meeste hacks is de mens de zwakste schakel.
Reageer met quote
10-03-2026, 11:47 door Anoniem
Door Anoniem: Volgens Lodi Hensen van beveiligingsbedrijf Eye Security is het terecht dat vooral Signal een goede reputatie heeft: de organisatie gaat zorgvuldig met de gegevens van gebruikers om en slaat erg weinig op. Ook staat de applicatie bekend als zeer betrouwbaar als het gaat om privacy. “Maar als gebruiker heb je maar een moment van onoplettendheid nodig – als je haast hebt en net dringend een bericht wilt sturen bijvoorbeeld – om in de door de diensten genoemde aanval te trappen.”

https://www.trouw.nl/binnenland/inlichtingendiensten-rusland-las-mee-op-nederlandse-whatsapp-en-signal-accounts~b1fbab3b/
Opletten moeten we zeker. Dat weten we ook nog van https://en.wikipedia.org/wiki/United_States_government_group_chat_leaks
Reageer met quote
10-03-2026, 11:50 door Anoniem
Signal, de zwakste schakel is de gebruiker.
Reageer met quote
10-03-2026, 12:02 door Anoniem
Zo eenvoudig met een regular expression te vangen, zoeken op "support bot", "signal security", etc. en dan de API tijdelijk bevriezen, een melding sturen naar admin voor verificatie. Klaar.
Reageer met quote
10-03-2026, 12:13 door Anoniem
WhatsApp zpu oknsowieso niet nemen gezienndeze redenen;
https://youtu.be/vgVI5Ba9Trc
Het verzamelt zeer veel metadata, heeft binnenkort ads en is gelinkt aan Meta, daarnaast is het geen vrije software dus is er geen broncode beschikbaar, zwartedozen software gebaseed op "trust me bro" en backuos zijn niet standaard versleuteld waardoor het op Meta cloud server verschijntndat ingelezen kan worden.
Volgens Meta werknemers in arme landen kunnen ze met een command bij je berichjes, en is daar geen goed toezicht op, aldus de TechLore video.
Reageer met quote
10-03-2026, 12:41 door Anoniem
Door Anoniem: “Maar als gebruiker heb je maar een moment van onoplettendheid nodig

Als je in die "Signal Security Support Chatbot" trapt, dan heb je niet een moment van onoplettendheid maar een moment van verstandsverbijstering.

Je kunt geen enkele bescherming bouwen die tegen dergelijke domheid bestand is.
Reageer met quote
10-03-2026, 12:42 door Anoniem
Door _R0N_: Zoals bij de meeste hacks is de mens de zwakste schakel.
Dat komt alleen maar doordat die zwakste schakel ook die zwakste schakel blijft.

In de afgelopen 25 jaar heb ik alle vormen van digitaal oplichting voorbij zien komen door erover te lezen.
Als men dat nou óók eens zou doen, dan is het snel afgelopen met die zwakste schakel.

Ik ben overigens (daardoor) nooit slachtoffer geworden.
Reageer met quote
10-03-2026, 12:56 door Anoniem
Door _R0N_: Zoals bij de meeste hacks is de mens de zwakste schakel.
Nee dat is niet zo. Het windows syndroom; driveby download infection (waar veel ransomware mee begint) is een hack zonder tussenkomst van de gebruiker. Of te wel het hangt van het ontwerp af.
Reageer met quote
10-03-2026, 13:10 door Anoniem
Door Anoniem: Zo eenvoudig met een regular expression te vangen, zoeken op "support bot", "signal security", etc. en dan de API tijdelijk bevriezen, een melding sturen naar admin voor verificatie. Klaar.

Net REs geleerd maar verder niet al te hard nagedacht?

Dachten "we" dertig jaar terug ook toen email spam uitgevonden werd, paar regular expressions op MMF en zo
Dat werd een wapenwedloop met enorm veel filtering, markeringen , blacklists,heuristics, Bayes en nu AI.

Toen was het probleem net nieuw . Dat excuus heb jij niet , voor de naïeve gedachte dat hetzelfde probleem "simpel paar REs klaar" oplosbaar is .
Reageer met quote
10-03-2026, 13:58 door Anoniem
Door Anoniem: Signal, de zwakste schakel is de gebruiker.
U geeft hiermee aan dat er dus meerdere "zwakke schakels" in Signal bestaan, met de gebruiker als de meest zwakke. Een lijstje van deze zwakke schakels zou handig zijn.
Dank u.
Reageer met quote
10-03-2026, 14:16 door Anoniem
Je kunt het ook niet gebruiken,
dan heb je nergens last van.
Reageer met quote
10-03-2026, 14:26 door Anoniem
Door Anoniem: WhatsApp zpu oknsowieso niet nemen gezienndeze redenen;
https://youtu.be/vgVI5Ba9Trc
Het verzamelt zeer veel metadata, heeft binnenkort ads en is gelinkt aan Meta, daarnaast is het geen vrije software dus is er geen broncode beschikbaar, zwartedozen software gebaseed op "trust me bro" en backuos zijn niet standaard versleuteld waardoor het op Meta cloud server verschijntndat ingelezen kan worden.
Volgens Meta werknemers in arme landen kunnen ze met een command bij je berichjes, en is daar geen goed toezicht op, aldus de TechLore video.
Excuseer voor mijn talloze spelfouten, dit is een "new low" voor mij...
Het is niet om aan te lezen, dus zal ik in het in het vervolg beter proberen te doen. (Ik gebruik geen spellingscorrectie, en tijdens haast is dat een ramp)
Hier is mijn bericht opnieuw voor diegenen die het willen lezen zonder spelfouten;

"WhatsApp zou ik sowieso niet nemen gezien de volgende redenen;
https://youtu.be/vgVI5Ba9Trc
Het verzamelt zeer veel metadata, het krijgt binnenkort mogelijk advertentied en is gelinkt aan Meta. Daarnaast is het geen vrije software dus is er geen broncode beschikbaar, met andere woorden; het is zwartedozen software gebaseed op "trust me bro" en backups zijn niet standaard versleuteld waardoor het op Meta cloud server verschijnt waarna het ingelezen kan worden.
Volgens de Meta werknemers in bepaalde arme landen kunnen ze met een simpele commandline bij je berichjes en daar is bovendien geen goed toezicht op, aldus de TechLore video."
Reageer met quote
10-03-2026, 15:14 door Anoniem
Door Anoniem: Zo eenvoudig met een regular expression te vangen, zoeken op "support bot", "signal security", etc. en dan de API tijdelijk bevriezen, een melding sturen naar admin voor verificatie. Klaar.

Vertel me dat je niets begrijpt van end-to-end encryptie zonder me te vertellen dat je niet begrijpt van end-to-end encryptie...
Reageer met quote
10-03-2026, 16:00 door Anoniem
Signal: waakzaamheid van gebruikers is beste verdediging tegen phishing
Uiteraard is dit waar, maar dit laat denk ik in algemene zin ook het grootste probleem van (digitale) beveiliging zien. Zodra we het technisch niet meer op kunnen lossen moet de gebruiker maar alert zijn, maar die gebruiker is in veel gevallen niet vaardig genoeg om dit te kunnen.
Waarom maken we de beveiliging steeds afhankelijk van de zwakste schakel (vaak de gebruiker)?
Reageer met quote
Vandaag, 15:17 door Anoniem
Door Anoniem:
Signal: waakzaamheid van gebruikers is beste verdediging tegen phishing
Uiteraard is dit waar, maar dit laat denk ik in algemene zin ook het grootste probleem van (digitale) beveiliging zien. Zodra we het technisch niet meer op kunnen lossen moet de gebruiker maar alert zijn, maar die gebruiker is in veel gevallen niet vaardig genoeg om dit te kunnen.
Waarom maken we de beveiliging steeds afhankelijk van de zwakste schakel (vaak de gebruiker)?

Waarom maak jij niet een functionele specificatie voor een chat-app waarin dit type probleem niet bestaat ?

Oh ja - het ding moet natuurlijk nog wel nut hebben voor de gebruikers .
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components