De AIVD waarschuwt vandaag samen met de MIVD voor phishingaanvallen gericht op back-ups van chatapp Signal. De aanvallen zijn volgens de diensten grootschalig en succesvol, waarbij de aanvallers gevoelige informatie in handen hebben gekregen. Eerder kwamen de Amerikaanse diensten al met een soortgelijke waarschuwing. "De Nederlandse inlichtingen- en veiligheidsdiensten MIVD en AIVD onderschrijven deze waarschuwing op basis van eigen onderzoek", zo meldt de AIVD op de eigen website.

Signal biedt gebruikers de optie om een 'Secure Backup' te maken, die beveiligd is met een recovery key van 64 karakters. Alleen met deze key is het mogelijk om back-ups te ontsleutelen en herstellen. Bij de aanvallen doen de aanvallers zich voor als 'Signal Support' en proberen de recovery key van doelwitten te ontfutselen. "Zodra de aanvallers de recovery key hebben bemachtigd, kunnen zij de volledige berichtgeschiedenis downloaden, inclusief foto's en documenten van de afgelopen 45 dagen. Bovendien stelt deze recovery key de aanvallers in staat om de volledige controle over het account over te nemen", aldus de AIVD.

Eerder waarschuwden de AIVD en MIVD al voor phishingaanvallen waarbij aanvallers toegang tot Signal-accounts probeerden te krijgen. Bij deze aanvallen hebben de aanvallers het voorzien op de verificatiecodes die toegang tot een account geven. Nu zijn Signal-back-ups het doelwit. Volgens de Nederlandse inlichtingendiensten zijn de phishingaanvallen het werk van 'Russische staatshackers'. "Deze Russische actie is nog steeds zeer grootschalig en succesvol. De nieuwe werkwijze draagt daar volgens de diensten aan bij. De Russen hebben gevoelige informatie verzameld."

Geen kanalen voor vertrouwelijke informatie

De MIVD herhaalt ook de eerdere oproep dat WhatsApp en Signal ongeschikt zijn voor het uitwisselen van gevoelige gegevens. Zo stelt MIVD-directeur viceadmiraal Peter Reesink dat applicaties zoals Signal en Whatsapp ondanks hun encryptie geen kanalen voor vertrouwelijke informatie zijn. Slachtoffers die hun recovery hebben overhandigd worden opgeroepen om een nieuwe recovery key aan te maken. "Hiermee wordt de voorgaande key onbruikbaar gemaakt voor toekomstige backup-downloads. Dit voorkomt niet dat de actor al een eerdere backup van het slachtoffer-account heeft gedownload."