FBI alerta: hackers russos agora visam chaves de recuperação de backup do Signal

Ameaças digitais costumam evoluir rapidamente, e o que começou como uma campanha de phishing genérica contra usuários do Signal agora se transformou em uma operação sofisticada de coleta de dados. Segundo alerta conjunto do FBI e da CISA, grupos ligados aos serviços de inteligência russos passaram a mirar especificamente nas chaves de recuperação de backup do aplicativo de mensagens, um elemento que permite o acesso a todo o histórico de conversas armazenadas na nuvem. A mudança representa um salto na capacidade dos atacantes, que antes tentavam apenas sequestrar contas ou interceptar códigos de verificação, mas agora buscam garantir acesso permanente às comunicações de alvos estratégicos.

A nova tática foi descrita em um comunicado público emitido recentemente, atualizando um aviso anterior do início de 2026 que já alertava sobre ataques contra usuários de aplicativos de mensagens comerciais, especialmente o Signal. Na ocasião, os invasores se passavam por supostas contas de suporte automatizado para enganar vítimas e obter códigos de verificação ou PINs de acesso. Agora, a abordagem foi refinada: os criminosos continuam se passando por equipes de suporte do Signal, mas passaram a solicitar explicitamente que as vítimas compartilhem suas chaves de recuperação de backup — um código de 30 dígitos que, uma vez obtido, permite descriptografar e acessar todas as mensagens armazenadas em backups na nuvem.

Como a campanha de phishing engana os usuários do Signal

Os invasores mantêm a estratégia de engenharia social que já havia sido identificada, mas com um refinamento preocupante. As mensagens falsas alegam que o Signal estaria implementando uma verificação em duas etapas obrigatória devido a um suposto aumento de ataques cibernéticos originados do Irã e de países da antiga União Soviética. O texto afirma que, para não perder acesso às mensagens e mídias, o usuário precisa ativar o backup e registrar a chave de recuperação. Em seguida, pede que a vítima envie essa chave para "confirmar a identidade" ou "atualizar o cadastro", sob a justificativa de que o sistema estaria passando por manutenção.

O que torna essa abordagem particularmente perigosa é a combinação de autoridade falsa com urgência artificial. Os criminosos usam tom oficial e incluem referências a supostas investigações conjuntas entre governos dos EUA e da Europa, o que aumenta a credibilidade da mensagem. Além disso, a promessa de "não perder mensagens" serve como isca psicológica, explorando o medo natural de usuários que dependem do Signal para comunicação profissional ou pessoal sensível. A vítima, ao seguir as instruções, acaba entregando de bandeja não apenas o acesso à conta atual, mas também a todo o histórico de mensagens armazenadas em backup — um verdadeiro tesouro para serviços de inteligência interessados em perfis de alto valor.

Quem são os alvos e por que eles são tão cobiçados

De acordo com o comunicado das autoridades, os principais alvos continuam sendo indivíduos de alto valor estratégico: atuais e ex-funcionários governamentais dos EUA e de outros países, militares, figuras políticas, jornalistas e oficiais ucranianos. Essa seleção não é aleatória. Esses grupos são alvos prioritários porque suas comunicações podem conter informações confidenciais, estratégicas ou capazes de influenciar a opinião pública. O Signal, por sua vez, é amplamente adotado por essas comunidades justamente por oferecer criptografia de ponta a ponta, o que torna a plataforma atraente para quem precisa de segurança máxima.

A atribuição dos ataques ao grupo conhecido como UNC5792 e a outros atores vinculados aos serviços russos — incluindo agentes embutidos na Guarda de Fronteira do FSB e outros vinculados às forças armadas russas — reforça a hipótese de que o objetivo vai além do mero acesso a contas individuais. Trata-se, possivelmente, de uma campanha de coleta de inteligência de longo prazo, capaz de fornecer insights sobre decisões políticas, movimentos militares ou mesmo estratégias de comunicação de adversários geopolíticos. Ao obter chaves de recuperação, os atacantes não precisam mais se preocupar com bloqueios temporários de contas ou mudanças de dispositivos; eles ganham acesso permanente ao histórico completo de conversas, independentemente de futuras atualizações de segurança ou desativação da conta.

O que é a chave de recuperação do Signal e por que ela é tão poderosa

O Signal implementou o recurso de backup na nuvem como uma forma de permitir que usuários recuperem suas mensagens caso percam o acesso ao dispositivo principal. Ao ativar o backup, o aplicativo gera uma chave de recuperação de 30 caracteres — uma sequência alfanumérica que funciona como senha mestra para descriptografar os dados armazenados. Essa chave é única por usuário e, teoricamente, só deveria ser conhecida pelo proprietário do dispositivo. No entanto, quando um usuário compartilha essa chave em resposta a uma mensagem de phishing, o atacante ganha controle total sobre o backup, podendo baixar e descriptografar todas as mensagens antigas, fotos, vídeos e arquivos anexados.

Esse mecanismo foi projetado para conveniência, mas agora representa um risco significativo quando combinado com engenharia social. Ao contrário de um simples sequestro de conta — que pode ser revertido com uma redefinição de senha —, o roubo da chave de recuperação permite acesso permanente aos dados, mesmo que a vítima troque de número ou dispositivo. Além disso, como o Signal armazena apenas dados criptografados, os invasores não conseguem acessar as mensagens em tempo real sem também obter o código de verificação do dispositivo atual, mas o histórico completo passa a estar disponível para análise offline.

Medidas de proteção recomendadas pelo FBI e especialistas

Diante desse cenário, as autoridades recomendam uma série de medidas imediatas para mitigar o risco. Em primeiro lugar, o FBI orienta os usuários a nunca compartilharem suas chaves de recuperação com ninguém, inclusive com supostos representantes do Signal. A empresa nunca solicita esse tipo de informação por mensagem ou e-mail. Qualquer comunicação oficial do Signal ocorre apenas dentro do próprio aplicativo, em notificações ou dentro das configurações, nunca por canais externos como SMS ou e-mail.

Outra recomendação crucial é desativar o backup na nuvem, pelo menos temporariamente, até que a situação se estabilize. Embora isso signifique perder a capacidade de recuperar mensagens em caso de perda do dispositivo, evita que dados sensíveis fiquem expostos em servidores potencialmente acessíveis por atacantes. Para usuários que não podem prescindir do backup, uma alternativa é usar um dispositivo secundário — como um tablet ou um segundo smartphone — para ativar o backup localmente, sem armazenamento na nuvem. Também é fundamental ativar a verificação em duas etapas no Signal, que adiciona uma camada extra de segurança além do código de verificação por SMS.

O que o Signal diz sobre a campanha e suas defesas

Em resposta ao alerta, o Signal reafirmou que nunca solicita chaves de recuperação por mensagem ou e-mail e que todas as comunicações oficiais são realizadas dentro do aplicativo. A empresa destacou que seu modelo de segurança baseia-se no princípio de que nem mesmo a própria Signal pode acessar o conteúdo das mensagens, graças à criptografia de ponta a ponta. No entanto, o risco não está na plataforma em si, mas na interação humana — ou seja, na capacidade dos atacantes de enganar os usuários para que eles mesmos entreguem as chaves.

O Signal também atualizou sua documentação de segurança para alertar os usuários sobre essa campanha específica e reforçou a importância de verificar sempre a origem das mensagens recebidas. A empresa não tem controle sobre as mensagens enviadas por terceiros, por isso depende da conscientização dos usuários para evitar cair em armadilhas. Além disso, o Signal mantém colaboração constante com forças de segurança para identificar e bloquear contas usadas na campanha, mas reconhece que a engenharia social continua sendo o vetor mais difícil de combater.

Implicações para profissionais de segurança e usuários comuns

Para profissionais de cibersegurança, o caso reforça a necessidade de treinamentos contínuos sobre engenharia social, especialmente para equipes que lidam com informações sensíveis. Campanhas como essa mostram que, mesmo com defesas técnicas robustas, o elo mais fraco continua sendo o usuário. Organizações devem revisar suas políticas de uso de aplicativos de mensagens e implementar diretrizes claras sobre compartilhamento de informações de recuperação, além de simulações de phishing para testar a resiliência de suas equipes.

Para usuários comuns, o episódio é um lembrete de que a segurança digital não é responsabilidade exclusiva das plataformas. Mesmo aplicativos com criptografia avançada podem ser comprometidos se o usuário não seguir práticas básicas. É recomendável revisar regularmente as configurações de segurança, desconfiar de mensagens não solicitadas e, sempre que possível, usar métodos alternativos de comunicação para informações extremamente sensíveis. A regra de ouro continua valendo: se algo parece bom demais para ser verdade, provavelmente não é.

O que vem pela frente: evolução das táticas e resposta das autoridades

Especialistas em segurança cibernética preveem que, à medida que os usuários se tornem mais conscientes desse tipo específico de ataque, os criminosos devem diversificar suas táticas. Uma possibilidade é o uso de domínios falsos que se passem pelo site oficial do Signal para roubar chaves de recuperação diretamente em formulários na web. Outra estratégia pode envolver o sequestro de contas de suporte legítimas — como aconteceu em outras campanhas — para aumentar a credibilidade das mensagens.

As autoridades, por sua vez, devem intensificar a colaboração internacional para rastrear e desmantelar as infraestruturas usadas nessas campanhas. A identificação de grupos como UNC5792 e UNC4221 é um passo importante, mas a resposta efetiva depende de ações coordenadas que vão desde o bloqueio de domínios até a prisão de operadores em jurisdições acessíveis. Enquanto isso, usuários de alto perfil — especialmente aqueles em zonas de conflito ou em posições governamentais — devem considerar o uso de dispositivos dedicados, com configurações de segurança reforçadas e, em casos extremos, a adoção de comunicações offline sempre que possível.

Conclusão

A evolução da campanha de phishing contra usuários do Signal marca mais um capítulo no jogo de gato e rato entre cibercriminosos e forças de segurança. O roubo de chaves de recuperação representa uma ameaça silenciosa, pois permite acesso permanente a comunicações passadas sem necessidade de quebrar a criptografia do aplicativo. Para os alvos prioritários — governos, militares e jornalistas —, o risco não é apenas teórico, mas uma realidade que exige atenção imediata.

A lição principal é clara: nenhuma plataforma, por mais segura que seja, substitui a cautela do usuário. Desativar backups na nuvem, ativar verificação em duas etapas e nunca compartilhar chaves de recuperação são ações simples, mas eficazes. Enquanto as autoridades trabalham para conter a campanha, a responsabilidade individual continua sendo a primeira linha de defesa contra ameaças cada vez mais sofisticadas.