image

AIVD waarschuwt voor phishingaanvallen gericht op Signal-back-ups

dinsdag 30 juni 2026, 13:52 door Redactie, 3 reacties

De AIVD waarschuwt vandaag samen met de MIVD voor phishingaanvallen gericht op back-ups van chatapp Signal. De aanvallen zijn volgens de diensten grootschalig en succesvol, waarbij de aanvallers gevoelige informatie in handen hebben gekregen. Eerder kwamen de Amerikaanse diensten al met een soortgelijke waarschuwing. "De Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD onderschrijven deze waarschuwing op basis van eigen onderzoek", zo meldt de AIVD op de eigen website.

Signal biedt gebruikers de optie om een 'Secure Backup' te maken, die beveiligd is met een recovery key van 64 karakters. Alleen met deze key is het mogelijk om back-ups te ontsleutelen en herstellen. Bij de aanvallen doen de aanvallers zich voor als 'Signal Support' en proberen de recovery key van doelwitten te ontfutselen. "Zodra de aanvallers de recovery key hebben bemachtigd, kunnen zij de volledige berichtgeschiedenis downloaden, inclusief foto's en documenten van de afgelopen 45 dagen. Bovendien stelt deze recovery key de aanvallers in staat om de volledige controle over het account over te nemen", aldus de AIVD.

Eerder waarschuwden de AIVD en MIVD al voor phishingaanvallen waarbij aanvallers toegang tot Signal-accounts probeerden te krijgen. Bij deze aanvallen hebben de aanvallers het voorzien op de verificatiecodes die toegang tot een account geven. Nu zijn Signal-back-ups het doelwit. Volgens de Nederlandse inlichtingendiensten zijn de phishingaanvallen het werk van 'Russische staatshackers'. "Deze Russische actie is nog steeds zeer grootschalig en succesvol. De nieuwe werkwijze draagt daar volgens de diensten aan bij. De Russen hebben gevoelige informatie verzameld."

Geen kanalen voor vertrouwelijke informatie

De MIVD herhaalt ook de eerdere oproep dat WhatsApp en Signal ongeschikt zijn voor het uitwisselen van gevoelige gegevens. Zo stelt MIVD-directeur viceadmiraal Peter Reesink dat applicaties zoals Signal en Whatsapp ondanks hun encryptie geen kanalen voor vertrouwelijke informatie zijn. Slachtoffers die hun recovery hebben overhandigd worden opgeroepen om een nieuwe recovery key aan te maken. "Hiermee wordt de voorgaande key onbruikbaar gemaakt voor toekomstige backup-downloads. Dit voorkomt niet dat de actor al een eerdere backup van het slachtoffer-account heeft gedownload."

Reacties (3)
Gisteren, 16:20 door Anoniem
Een vreemde oproep dat de MIVD zegt dat Signal ongeschikt is voor het uitwisselen van gevoelige gegevens omdat je die recovery key van 64 karakters kunt afgeven.

Wat is de volgende oproep van de MIVD? AES256 is ongeschikt als encryptie methode omdat je de key kunt exporteren en afgeven?
Gisteren, 23:01 door Anoniem
Door Anoniem: Een vreemde oproep dat de MIVD zegt dat Signal ongeschikt is voor het uitwisselen van gevoelige gegevens omdat je die recovery key van 64 karakters kunt afgeven.

Wat is de volgende oproep van de MIVD? AES256 is ongeschikt als encryptie methode omdat je de key kunt exporteren en afgeven?

Natuurlijk niet. In tegenstelling tot jij , snappen ze daar wel wat security, en realiseren zich dat het meer is dan een supersterk algorithme of een app die een bepaald protocol gebruikt.
Ze zullen zeker een _product_ waarbij de eindgebruiker een key kan exporteren afraden omdat dat gewoon een zwakte is.

Het niet-exporteer zijn van secrets is één van de eigenschappen die je wilt in bepaalde componenten , zoals een HSM. Ook een yubi key heeft dat als belofte .


Je moet eens afleren om zo geil te zijn op één component (zoasl een algorithme) , want als dat verkeerd gebruikt wordt - zoals met user-exportable keys - is _dat_ de zwakke schakel.

Ik verwacht (ik heb er geen zicht op) dat ze in defensie producten dingen gebruiken waarbij de gebruiker gewoon GEEN keys kan exporteren, en ook niet "zomaar iedereen" aan een group kan toevoegen .
Logisch dat in een product voor iedereen (zoals WhatsApp, zoals Signal) dat kan , iedereen kan een groep maken en mensen erbij doen (of eruit gooien), en dat is ook meteen een serieus veiligheids risico.

Als je een paar miljoen gebruikers hebt - ook al dragen ze een groen uniform en hebben ze strepen of sterren op de schouders - fouten worden gemaakt, en dan zoek je dus naar een product waarin liefst het maken van fouten gewoon _niet kan_ .
Signal is voor dat gebruik niet geschikt, en terecht dat de MIVD ervoor waarschuwt .
Vandaag, 08:24 door Anoniem
Is dit wat laat, feze eaarschuwing stond vorige week al in bleepingcomputer als waarschuwing door FBI.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.