Az FBI és a CISA 2026. március 20-án kiadott figyelmeztetése szerint orosz hírszerzési szolgálatokhoz köthető szereplők egy világszintű kampányban célozzák elsősorban a Signal, és a WhatsApp felhasználóit. A hatóságok szerint a műveletek már több ezer egyéni fiók illetéktelen hozzáféréséhez vezettek, és a célpontok tipikusan magas hírszerzési értékű személyek, jelenlegi vagy volt kormányzati tisztviselők, katonák, politikai szereplők és újságírók. A kampány nem kriptográfiai áttörésről szól, hanem account hijackről, social engineeringről és legitim alkalmazásfunkciók rosszindulatú kihasználásáról. A holland AIVD és MIVD már 2026. március 9-én jelezte, hogy orosz állami hackerek próbálnak Signal és WhatsApp fiókokhoz hozzáférni, és hogy az érintettek között holland kormányzati alkalmazottak is voltak. A holland szolgálatok külön hangsúlyozták, hogy nem maguk az alkalmazások kompromittálódtak, hanem a felhasználói fiókok.
A Signal biztonsági modellje erős végpontok közötti titkosításra épül, ezért egy hírszerzési művelet számára sokkal egyszerűbb a felhasználót rávenni valamire, mint a protokollt feltörni. A támadók hamis támogatói vagy biztonsági fiókoknak adják ki magukat, és olyan műveletre veszik rá az áldozatot, amely vagy egy új eszköz összekapcsolását (linked-device) teszi lehetővé, vagy teljes fiókátvételhez vezet. Linked-device abuse esetében a támadó nem feltétlenül zárja ki az eredeti felhasználót a fiókból. Ehelyett eléri, hogy az áldozat saját maga kapcsoljon a fiókjához egy támadói ellenőrzés alatt álló klienst. Ettől kezdve a jövőbeli üzenetek szinkronban eljutnak a legitim felhasználóhoz és a támadóhoz is. Ez kémkedési szempontból különösen értékes, mert tartós hozzáférést ad, miközben az áldozat sokáig nem feltétlenül észleli a kompromittálódást. Ezt a modellt a Google Threat Intelligence Group már 2025 februárjában részletesen dokumentálta orosz államközeli szereplők kapcsán. A másik ág a teljes fiókátvétel. Itt a cél az, hogy a felhasználó kiadja az SMS-ben kapott ellenőrző kódot, a PIN-t vagy más hitelesítési elemet. Ha ez sikerül, a támadó átveheti a fiókot, az eredeti felhasználót pedig ki is zárhatja. A kompromittált fiókokból a támadók nemcsak olvasni tudják az üzeneteket és kontaktlistákat, hanem a sértett nevében üzeneteket is küldhetnek, illetve további adathalász műveleteket indíthatnak.
A művelet első fázisa a célpontkiválasztás. A nyilvános figyelmeztetések alapján a kampány célja nem tömeges fogyasztói csalás, hanem információgyűjtés kiválasztott hírszerzési célpontoktól: döntéshozók, katonák, diplomaták, újságírók és más, érzékeny kommunikációt folytató személyek kerülnek célkeresztbe. Ezekben a körökben a Signal reputációja kifejezetten magas.
A második fázis a megszemélyesítés. A támadók tipikusan támogatói fióknak, biztonsági chatbotnak vagy szolgáltatói ügyfélszolgálatnak adják ki magukat. Az üzenetek hangneme sürgető. Gyanús bejelentkezést, adatvédelmi incidenst, idegen eszközkapcsolatot vagy kötelező verifikációt emlegetnek. A cél a döntési idő lerövidítése és a felhasználó terelése egy olyan művelet felé, amelyet biztonsági reakciónak érez.
A harmadik fázis a konkrét hozzáférés megszerzése. Ennek egyik formája a rosszindulatú QR-kód. A Signal linked devices funkciója legitim módon úgy működik, hogy az asztali vagy iPad kliens megjelenít egy QR-kódot, amelyet a telefonról beolvasva a felhasználó összekapcsolja az új eszközt a meglévő fiókkal. Támadás esetén viszont a támadó olyan QR-kódot vagy linket ad a célpontnak, amely a támadó eszközét párosítja a sértett fiókjához. A felhasználó a beállításokban tudja ellenőrizni a csatlakoztatott eszközöket.
A negyedik fázis a perzisztens megfigyelés vagy a laterális terjeszkedés. Ha a támadó linked device hozzáférést ért el, valós időben olvashatja a kommunikációt, figyelheti a csoportos beszélgetéseket, és a kompromittált identitást felhasználva további célpontokat támadhat. Ha teljes fiókátvétel történt, olyan ennél is agresszívebb műveletek hajthatók végre, mint a kontaktlista felderítés, új csaló üzenetek küldése, szervezeti kapcsolati háló feltérképezése, illetve másodlagos hozzáférések megszerzése.
A GTIG szerint több orosz államhoz köthető szereplő kifejezetten a Signal „linked devices” funkcióját használta ki. A módszer lényege, hogy a támadók a Signal hivatalos felületeihez hasonló, eredetinek álcázott oldalakat készítenek. Ezek lehetnek például hamis biztonsági figyelmeztetések, a Signal csoportmeghívó oldalait utánzó oldalak, vagy más, speciális alkalmazásnak tűnő megtévesztő weboldalak. Ezekben a megszokott átirányítási működést egy sgnl://linkdevice?uuid= hivatkozásra cserélték, amely valójában a támadó eszközének összekapcsolását kezdeményezte az áldozat Signal fiókjával. Ez jól illusztrálja, hogy a csali igazodik a célpont szakmai és szervezeti közegéhez. Ugyanez a logika könnyen átültethető kormányzati, médiás vagy vállalati környezetre is.
A legfontosabb védekezési szempont, hogy a támadó által kért verifikációs kód, PIN vagy QR-szkennelés önmagában incidens-előjel lehet. Sem Signal, sem WhatsApp oldalról nem tekinthető normál ügymenetnek, hogy egy chatüzenetben vagy üzenetküldőn keresztül a support fiók kódokat kér vissza a felhasználótól. Az FBI/CISA ajánlása szerint minden olyan üzenetet, amely sürgető hangnemben kódmegosztást vagy eszközkapcsolást kér, alapértelmezetten gyanúsnak kell tekinteni.
Technikai oldalról alapvető kontroll a linked devices rendszeres ellenőrzése. A Signal támogatási dokumentációja alapján a felhasználó a beállítások között ellenőrizheti a kapcsolt eszközöket, és szükség esetén le tudja választani őket. Szervezeti környezetben ez akár rutinellenőrzésként is beépíthető a magas kockázatú felhasználók havi vagy heti opsec-eljárásaiba. Szintén erős technikai indikátor a sgnl://linkdevice?uuid= URI megjelenése olyan kontextusban, ahol a felhasználó valójában nem saját eszközt akar összekapcsolni.
A holland szolgálatok felhívták a figyelmet, hogy a kompromittált fiókok csoportos beszélgetésekben is árulkodó jeleket hagyhatnak. Ilyen lehet, ha ugyanaz a személy kétszer jelenik meg a taglistában azonos vagy nagyon hasonló néven, ha egy csoportban ismeretlen tag bukkan fel, vagy ha a megjelenített név gyanús módon megváltozik például „Deleted account” típusú címkére.
A Google Threat Intelligence Group kutatása több konkrét, kampányhoz köthető phishing domaint is megnevezett. Ilyen volt például a signal-groups[.]tech, a signal-confirm[.]site, a teneta.add-group[.]site, valamint a signal-protect[.]host. Ezeket nem érdemes kizárólagos blokkolási alapként kezelni, mert a támadók jellemzően gyorsan váltják az infrastruktúrát, de detektálási és retroaktív keresési szempontból értékes referenciapontok.
Az NBSZ-NKI témával kapcsolatban készült IT biztonsági tanácsai ITT és ITT érhetők el.