Спецслужбы Нидерландов заявили о фишинговой кампании против аккаунтов Signal и WhatsApp

Голландские разведслужбы AIVD и MIVD предупредили о фишинговой кампании против аккаунтов Signal и WhatsApp (принадлежит Meta, деятельность которой признана экстремистской и запрещена на территории РФ). По заявлению голландской стороны, кампанию ведут якобы хакеры, которых Нидерланды связывают с Россией. Среди пострадавших названы сотрудники правительства Нидерландов и журналисты.

Предупреждение опубликовано 9 марта 2026 года. Сквозное шифрование мессенджеров не взломано, голландские разведслужбы подчёркивают это отдельно. Злоумышленники действуют через социальную инженерию. Пишут жертве в Signal, представляясь ботом поддержки, и убеждают передать код подтверждения или PIN-код.

Получив код, атакующий входит в аккаунт и читает всю переписку, включая групповые чаты.

Второй приём использует штатную функцию «привязанные устройства» (linked devices). Злоумышленник привязывает своё устройство к аккаунту жертвы через QR-код и получает все входящие сообщения в реальном времени. Жертва может не заметить подмену, если не проверяет список привязанных устройств в настройках.

Signal и WhatsApp в целом не скомпрометированы. Атаке подвергаются отдельные аккаунты пользователей.

— Simone Smit, генеральный директор AIVD

AIVD и MIVD перечислили признаки взлома аккаунта Signal. Контакт появляется в группе дважды под тем же или слегка изменённым именем, а номер неожиданно отображается как «Удалённый аккаунт». В группу вступает незнакомый участник через групповую ссылку. Голландские спецслужбы рекомендуют удалить подозрительные аккаунты и пересоздать чат.

Предупреждение голландцев подтверждает прогноз, который Google Threat Intelligence Group (GTIG) сделал в феврале 2025 года. Тогда GTIG описал несколько группировок (UNC5792, UNC4221, APT44/Sandworm по собственной классификации Google), использовавших привязанные устройства в Signal для перехвата сообщений. Основными целями были военные и дипломаты, но GTIG предупреждал, что тактика выйдет за пределы конфликта. Год спустя голландские спецслужбы зафиксировали тот же приём на уровне правительственных сотрудников Нидерландов.

Microsoft Threat Intelligence в январе 2025 года описал параллельную кампанию против аккаунтов WhatsApp. По данным Microsoft, её вела группировка Star Blizzard (она же COLDRIVER, UNC4057). В ноябре 2025 года CISA (Агентство по кибербезопасности США) опубликовало отдельный бюллетень о шпионском ПО, нацеленном на пользователей мессенджеров, включая фишинг через привязанные устройства и вредоносные QR-коды.

Signal после публикации GTIG в феврале 2025 года выпустил обновления для Android и iOS. По словам старшего технолога Signal Джоша Ланда, в приложении появились новый интерфейс привязки устройств, дополнительные шаги подтверждения и уведомления о новых привязанных устройствах. По утверждению голландских спецслужб, кампания продолжается и год спустя.

Несмотря на сквозное шифрование, мессенджеры вроде Signal и WhatsApp не должны использоваться для передачи секретной, конфиденциальной или чувствительной информации.

— Peter Reesink, директор MIVD, вице-адмирал

Представитель Meta сообщил The Register, что пользователям не следует передавать шестизначный код другим лицам. Signal не ответил на запросы издания.