O passado aviso público do FBI coloca em letras grandes algo que muitos especialistas estavam suspeitando: há campanhas de phishing que estão conseguindo tomar o controle de contas em aplicativos de mensagens criptografadas e, segundo a agência, Estas operações estão directamente ligadas a serviços de inteligência russos. O comunicado do FBI - o primeiro que atribui explicitamente essas campanhas à inteligência russa - descreve um padrão inquietante: não se trata de quebrar os protocolos de encriptação de extremo a extremo, mas de saltar a proteção aproveitando a confiança e a mecânica de verificação das próprias aplicações.
As táticas observadas são simples em sua técnica e eficazes em sua execução. Os atacantes enviam mensagens fazendo-se passar por contas de suporte ou por contatos de confiança e pedem ao destinatário que faça uma ação aparentemente inocua, como compartilhar um código de verificação ou digitalizar um código QR. Essas mesmas ações são as que permitem a Signal e o WhatsApp ligar um novo dispositivo a uma conta existente; exploradas maliciosamente, permitem ao intruso adicionar um dispositivo sob seu controle e acessar mensagens e lista de contatos. Signal explica como funcionam as dispositivos ligados e o WhatsApp detalha seu mecanismo de verificação em sua seção de ajuda sobre códigos.
O FBI sublinha que o objectivo destes ataques não é “romper” a cifra; a cifra continua a funcionar para os dispositivos legítimos. O problema ocorre quando o atacante consegue que seu próprio dispositivo seja tratado pela plataforma como um mais do usuário, com capacidade para ler mensagens, entrar em grupos, fazer-se passar pela vítima e lançar novas ondas de phishing desde uma conta já comprometida. De acordo com a nota do FBI, estas operações já alcançaram “miles” contas em todo o mundo e têm-se dirigido preferencialmente a pessoas com acesso a informações sensíveis: funcionários atuais e anteriores, militares, cargos políticos e jornalistas. Você pode ler o aviso completo do FBI em seu PSA disponível aqui.
O alerta norte-americano vem depois de avisos semelhantes emitidos na Europa; por exemplo, a autoridade francesa de coordenação em cibercrise publicou um relatório que mostra os mesmos padrões e exemplos de mensagens de phishing usadas contra usuários de mensagens instantâneas. O documento da C4 (Centre de réponse aux incidents) detalha amostras e táticas em um PDF público que ajuda a ver como o gancho é apresentado na conversa real: alerta da C4.
Por que essas campanhas são tão perigosas? Porque mudam a natureza da ameaça: a criptografia continua oferecendo confidencialidade entre dispositivos legítimos, mas se o adversário consegue que seu dispositivo faça parte do conjunto de dispositivos do usuário, então pode ler e enviar mensagens sem necessidade de violar protocolos criptográficos. Isso torna os contatos e as conversas em vetores de propagação: uma mensagem de uma conta comprometida parece legítima e é muito mais eficaz para enganar novas vítimas.
Na prática, as mensagens fraudulentas costumam pedir ações concretas: introduzir ou enviar códigos de verificação, digitalizar um QR para "reconectar" o serviço ou seguir ligações que levam a páginas que reemulam a interface da app. Diante de um pedido assim, a recomendável é desconfiar por defeito. Nunca é necessário facilitar códigos de verificação ou digitalizar códigos QR que não tenham sido solicitados a partir do próprio dispositivo do utilizador. Também é boa ideia rever periodicamente a lista de dispositivos vinculados em seu aplicativo e fechar sessões que não reconheças; as próprias páginas de ajuda de Signal e WhatsApp ensinam como gerenciar esses vínculos e fechar dispositivos remotos.
Para aqueles que trabalham com informações sensíveis —periodistas com fontes, funcionários, membros de ONGs ou qualquer pessoa com risco elevado — as medidas devem ser mais rigorosas: usar a função de bloqueio de registro que oferece Signal (que impõe um PIN para evitar reregistros) ou ativar a verificação em dois passos do WhatsApp para adicionar uma camada adicional de defesa, manter separados os canais de comunicação críticos e, quando possível, usar dispositivos e contas dedicadas para comunicações sensíveis. Estas práticas reduzem a probabilidade de um e-mail ou uma mensagem engenhoso derive em um sequestro de conta.
Tecnicamente, as plataformas também podem melhorar a detecção e apresentação destes enganos, e algumas já trabalharam nesse sentido; no entanto, a defesa mais eficaz continua a ser a consciência do usuário. Um impulso inesperado para “reolver um problema de segurança” na conversa não é inocuo: detente, verifica por outro canal e não partilhe códigos nem credenciais.
Se você acha que sua conta foi comprometida, desliga os dispositivos vinculados, muda a configuração de segurança e avisa seus contatos para que eles estejam alertando para mensagens atípicos que possam vir de sua identidade. As organizações devem considerar também procedimentos de resposta e notificação específicos para funcionários com acesso a informações sensíveis, porque a cadeia de suplantação pode rapidamente escalar se a conta comprometedora pertence a uma pessoa com muitos contatos influentes.
Por último, convém recordar que atribuir ataques a estados-nação adiciona uma camada política e operacional ao problema: quando uma inteligência está por trás dessas campanhas, o objetivo não é apenas o acesso pontual, mas a exploração prolongada e seletiva de informação. Por isso o aviso do FBI não é apenas uma notícia mais sobre cibersegurança; é uma chamada a reorganizar hábitos e controles para proteger o que os protocolos de criptografia não podem defender sozinhos: a integridade dos dispositivos e a prudência humana. Manter-se informado e aplicar as recomendações das próprias aplicações e das autoridades é o mínimo que podemos fazer. Para mais detalhes técnicos e exemplos, revisa a PSA do FBI aqui e o guia prático da C4 francesa aqui, bem como as páginas oficiais de ajuda Signal e WhatsApp.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...