Nas últimas semanas, agências de segurança de vários países acenderam os alarmes por uma campanha de phishing dirigida a aplicativos de mensagens comerciais como WhatsApp e Signal. Os organismos americanos CISA e o FBI Eles alertaram que atores ligados a serviços de inteligência russos estão tentando sequestrar contas de pessoas com “alto valor de inteligência”: funcionários públicos, militares, jornalistas e figuras políticas.
O relevante desta campanha é que não se trata de uma violação técnica dos protocolos de criptografia dessas plataformas, mas de uma exploração da confiança humana: os atacantes usam técnicas de engenharia social para convencer as vítimas de entregar códigos de verificação, escaneem códigos QR ou cliquem links maliciosos. O resultado: a tomada de controle de contas, vista de mensagens, e a suplantação para lançar novos enganos de uma identidade confiável. As agências dizem que já se comprometeram milhares de contas em todo o mundo.
Há duas formas principais com as quais os atacantes conseguem o acesso, e a diferença entre elas é importante. Se a vítima fornecer o código ou o PIN de verificação solicitado, o atacante recupera a conta e o proprietário perde o acesso; o atacante não poderá ver as mensagens antigas, mas você pode ler e enviar mensagens novas fazendo-se passar pela vítima. Se a vítima, em vez disso, clicar em um link ou digitalizar um código QR preparado pelo atacante, então um dispositivo controlado pelo adversário fica emparelhado com a conta, o que pode permitir o acesso completo a conversas passadas e presentes, enquanto o usuário afetado ainda pode entrar na conta até que seja expulso desde a configuração da app.
Diferentes equipamentos de inteligência de empresas tecnológicas e centros de resposta têm ligado campanhas semelhantes a grupos alinhados com a Rússia identificados na literatura de cibersegurança com etiquetas como Star Blizzard, UNC5792 e UNC4221. Relatórios de inteligência de grandes fornecedores apontam padrões e táticas semelhantes, e alertas europeus, como a do centro de crise cibernética francês C4/ANSSI, confirmam um aumento de operações direcionadas contra contas de mensagens de funcionários, jornalistas e líderes empresariais.
As autoridades também explicaram porque esses incidentes são especialmente perigosos. Quando um atacante controla uma conta de mensagens, não só obtém acesso a conversas, também pode manipular a percepção de contatos próximos: enviar links perigosos ou solicitações aparentando ser a vítima, e assim estender a rede de compromisso a pessoas que confiam no remetente. Em termos práticos, uma única conta comprometida pode se tornar a ferramenta para atacar uma dúzia mais.
As recomendações de segurança não são novas, mas agora cobram maior urgência. Nunca compartilhar códigos de verificação ou PIN com ninguém; tentar com desconfiança mensagens inesperadas que peçam ações urgentes; verificar a autenticidade de uma mensagem por outra via antes de responder; e revisar periodicamente os dispositivos vinculados às suas aplicações para remover os que não reconheças. O WhatsApp mantém instruções específicas sobre a verificação em dois passos e boas práticas em seu centro de ajuda ( ver FAQ do WhatsApp), e Signal publica diretrizes contra phishing e impessoações ( ver artigo de Signal).
Signal lembrou publicamente que seu código de verificação por SMS só é necessário durante a ativação inicial e que Signal Support nunca contacta usuários pedindo códigos ou PIN por mensagem. Qualquer pedido desse tipo deve ser considerado uma fraude, e a empresa pediu aos usuários que denunciem tentativas de suplantação em que apareça um suposto “Signal Support Bot” ou outros emissores suspeitos ( Declaração de Signal).
Além de não compartilhar códigos, há medidas concretas que reduzem o risco: ativar a verificação em dois passos ou o PIN de registro que oferecem essas aplicações, usar bloqueios de tela no dispositivo, manter o sistema operacional e as apps atualizadas, e desconfiar de ligações encurtadas ou domínios que imitam serviços legítimos. Para organizações e altos cargos, a prática recomendada inclui controles adicionais de segurança e protocolos de verificação offline antes de aceitar comunicações sensíveis.
As instituições encarregadas da cibersegurança recomendam também que qualquer pessoa que suspeite ter sido alvo deste tipo de campanha apresente uma denúncia e siga as guias oficiais para relatar o incidente. Nos Estados Unidos, o IC3 e outras agências difundem avisos e passos a seguir; CISA mantém recursos sobre como identificar e responder a campanhas de phishing ( mais informações sobre o CISA).
Este tipo de ofensiva lembra que a segurança não depende apenas de algoritmos e criptografia robustos: depende de pessoas bem informadas e processos que dificultem o abuso da confiança. A tecnologia de mensagens protege as mensagens em trânsito, mas se um atacante conseguir entrar pela porta do usuário, o nível de proteção é drasticamente reduzido. Por isso, além das melhorias técnicas, a formação e a prudência são a primeira linha de defesa.
Se o seu trabalho ou a sua posição o torna mais provável para estas campanhas, considere elevar as barreiras de segurança e coordenar com o seu departamento de TI ou com equipes de resposta a incidentes para implementar medidas proativas. As advertências públicas recentes são uma chamada de atenção para não baixar a guarda: a engenharia social continua a ser, em muitos casos, a ferramenta preferida de atores sofisticados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...