Ameaças da inteligência russa usam chave de recuperação do Signal para roubar contas
Por Mag-Info Tech editorial · 2026-06-28
Como a engenharia social está transformando a Chave de Recuperação do Signal em uma porta aberta para espiões russos
Autoridades de segurança dos Estados Unidos atualizaram recentemente um alerta sobre uma campanha de ciberespionagem conduzida por grupos de inteligência russa. Desde março, esses atores vinham utilizando mensagens falsas para enganar alvos e obter acesso a contas em plataformas de mensagens como Signal e WhatsApp. A novidade é que agora os invasores passaram a focar especificamente na Chave de Recuperação de Backup do Signal, um recurso legítimo projetado para proteger usuários contra perda de dados. Ao convencer vítimas a compartilhar essa chave — que funciona como uma senha mestra para restaurar mensagens e conversas — os atacantes conseguem não apenas acessar o histórico completo da conta, mas também manter controle permanente sobre ela.
O que torna essa abordagem particularmente perigosa é que, uma vez obtida a chave, o invasor pode restaurar o backup da conta a qualquer momento, mesmo após a vítima ter tentado se proteger. Isso significa que, mesmo que o usuário desative o backup ou crie uma nova conta com o mesmo número de telefone, a chave antiga ainda pode ser usada para reativar o acesso ao histórico de mensagens. Segundo o alerta, a única forma de bloquear esse acesso futuro é gerar uma nova chave de recuperação no aplicativo, o que invalida a anterior. No entanto, qualquer dado que já tenha sido extraído pelo invasor permanece comprometido.
Quem são os alvos e por que eles estão na mira
Os grupos responsáveis por essa campanha operam sob o guarda-chuva de várias agências de inteligência russas, incluindo oficiais do FSB — o serviço de segurança federal russo — integrados às forças de fronteira e outros ramos militares. As autoridades norte-americanas identificaram dois nomes de rastreamento associados a essa atividade: UNC5792 e UNC4221. A campanha não se limita a um único país: alvos incluem funcionários governamentais atuais e aposentados dos Estados Unidos e de nações aliadas, militares, figuras políticas, jornalistas e oficiais ucranianos. Em março, as agências já haviam alertado que milhares de contas haviam sido comprometidas globalmente, e a atualização reforça que o problema continua em expansão.
O perfil dos alvos explica a sofisticação da abordagem. Indivíduos com acesso a informações sensíveis ou que ocupam posições estratégicas são mais propensos a receber mensagens que se passam por comunicações oficiais ou suporte técnico. Os invasores não precisam quebrar a criptografia do Signal ou explorar vulnerabilidades no aplicativo; eles simplesmente exploram a confiança dos usuários em mensagens que parecem legítimas. Essa tática de engenharia social é cada vez mais comum em campanhas de ciberespionagem patrocinadas por Estados, pois permite contornar defesas técnicas com relativa facilidade.
As mensagens falsas que enganam até usuários experientes
As mensagens usadas na campanha são projetadas para parecer urgentes e oficiais. Em uma das amostras compartilhadas pelas autoridades, o invasor se passa por suporte técnico do Signal e alega que o usuário precisa atualizar seu sistema de autenticação de dois fatores. Em outra, a vítima recebe um alerta de que suas mensagens estão em risco de perda e é instruída a ativar o backup e compartilhar a chave de recuperação para "salvar" os dados. O tom é sempre de emergência, pressionando o usuário a agir rapidamente sem verificar a autenticidade da mensagem.
Essa abordagem não é nova, mas a incorporação da Chave de Recuperação do Signal representa um avanço na sofisticação dos ataques. Anteriormente, os invasores tentavam obter códigos de verificação por SMS ou PINs de contas, ou ainda usavam links falsos de convites em grupos para vincular dispositivos de terceiros à conta da vítima. Agora, ao direcionar os alvos para o menu de backup do Signal e guiá-los passo a passo para compartilhar a chave, os atacantes transformam um recurso de segurança em uma vulnerabilidade. O aplicativo em si não tem falhas; o problema está na interação humana, que os invasores manipulam habilmente.
Por que a Chave de Recuperação do Signal é tão poderosa nas mãos erradas
O Signal foi projetado com privacidade em mente, e a Chave de Recuperação de Backup é uma peça central desse ecossistema. Quando ativada, ela permite que o usuário recupere todas as mensagens, mídias e dados da conta em um novo dispositivo, sem perder o histórico. Essa funcionalidade é especialmente útil para quem troca de celular ou reinstala o aplicativo. No entanto, quando essa chave cai nas mãos erradas, ela se torna uma ferramenta de acesso total.
O alerta das autoridades destaca um detalhe crítico: a chave não expira automaticamente. Mesmo que a vítima desative o backup ou gere uma nova chave, a anterior continua válida para restauração de dados. Isso significa que, uma vez compartilhada, a chave pode ser usada repetidamente para acessar backups futuros. A única solução definitiva é gerar uma nova chave no aplicativo, o que invalida todas as anteriores. No entanto, qualquer dado que já tenha sido baixado pelo invasor permanece acessível, pois o Signal não pode apagar backups já transferidos para dispositivos controlados pelos atacantes.
Resultados reais da IA da MEFAI. Ganhe $50 de desconto no plano Pro.
Patrocinado · Desempenho passado não indica resultados futuros. Não é conselho financeiro.
Como se proteger: passos práticos para usuários e organizações
Para usuários individuais, a primeira linha de defesa é desconfiar de qualquer mensagem que peça credenciais, chaves de recuperação ou informações sensíveis, mesmo que pareça vir de uma fonte confiável. O Signal nunca pedirá que você compartilhe sua Chave de Recuperação por mensagem ou e-mail. Se receber uma solicitação desse tipo, a recomendação é ignorá-la e verificar diretamente no aplicativo ou no site oficial do Signal. Além disso, desative o backup automático de mensagens se não for necessário, ou revise periodicamente as configurações de backup para garantir que apenas dispositivos autorizados tenham acesso.
Para organizações, especialmente aquelas que lidam com informações sensíveis, a conscientização sobre essas táticas é crucial. Treinamentos de segurança devem incluir exemplos de mensagens falsas e simulações de ataques de engenharia social. Também é recomendável que equipes revisem periodicamente as configurações de segurança de suas contas em plataformas como Signal e WhatsApp, garantindo que apenas contatos confiáveis tenham acesso a grupos e que recursos como backups sejam usados com cautela. Em casos de suspeita de comprometimento, a geração imediata de uma nova Chave de Recuperação é essencial para limitar danos futuros.
O que as autoridades estão fazendo — e o que falta ser feito
As agências norte-americanas, em coordenação com aliados na Europa, têm intensificado os alertas sobre essa campanha. Além das atualizações do FBI e da CISA, o Departamento de Estado dos EUA ofereceu uma recompensa de até 10 milhões de dólares por informações que levem à identificação ou localização de membros do grupo UNC5772. Essa medida reflete a gravidade atribuída ao problema e a intenção de desmantelar a infraestrutura por trás dos ataques. Contudo, especialistas alertam que, enquanto a engenharia social continuar sendo a principal tática, os riscos para alvos de alto valor persistirão.
A cooperação internacional também é fundamental. Países como Holanda, Alemanha e França já haviam emitido seus próprios alertas sobre atividades semelhantes no início do ano, indicando que a campanha tem alcance global. No entanto, a natureza descentralizada desses grupos e o uso de táticas que exploram a confiança humana tornam difícil a erradicação completa. As autoridades também destacam que, embora o Signal seja o foco atual, outras plataformas de mensagens também são alvos potenciais, exigindo vigilância constante.
Implicações para o futuro da privacidade e da segurança em mensagens
Esse incidente levanta questões importantes sobre como equilibrar conveniência e segurança em aplicativos de mensagens. Recursos como backups e chaves de recuperação são essenciais para proteger usuários contra perda de dados, mas também podem se tornar alvos atraentes para atacantes. O Signal, conhecido por seu compromisso com a privacidade, enfrenta agora o desafio de reforçar a educação dos usuários sem comprometer a usabilidade do aplicativo. Uma possível solução poderia ser a implementação de alertas mais visíveis dentro do próprio aplicativo, lembrando os usuários sobre os riscos de compartilhar chaves de recuperação, mesmo em contextos aparentemente legítimos.
Outra implicação é a crescente profissionalização dos grupos de ciberespionagem patrocinados por Estados. Campanhas como essa demonstram que esses atores estão cada vez mais sofisticados, combinando táticas de engenharia social com o uso estratégico de recursos legítimos de plataformas populares. Para usuários comuns, isso significa que a segurança não depende apenas de ferramentas técnicas, mas também de hábitos e conscientização. Para desenvolvedores de aplicativos, o desafio é projetar recursos que sejam tanto úteis quanto seguros, minimizando superfícies de ataque sem prejudicar a experiência do usuário.
O que observar nos próximos meses
Nos próximos meses, espera-se que as autoridades continuem a monitorar e divulgar novas variantes dessa campanha. Usuários devem estar atentos a mensagens que peçam acesso a chaves de recuperação ou credenciais, independentemente do aplicativo ou serviço envolvido. Organizações devem revisar suas políticas de segurança para incluir treinamentos específicos sobre engenharia social e revisões periódicas de configurações de segurança. Além disso, a colaboração entre governos, empresas de tecnologia e sociedade civil será crucial para identificar e interromper essas atividades antes que mais contas sejam comprometidas.
Por fim, é importante lembrar que, embora o Signal seja o foco atual, outros aplicativos de mensagens também podem ser alvos de táticas semelhantes. A lição principal é clara: nenhum recurso de segurança substitui a vigilância e a desconfiança saudável. Em um cenário onde a engenharia social se tornou uma arma poderosa, a segurança digital depende cada vez mais da capacidade de reconhecer quando algo — ou alguém — não é o que parece.
Mais em Cibersegurança & Privacidade
Campanha de phishing russa usa SMS falsos para roubar credenciais de apps de mensagens
Autoridades ucranianas e o FBI identificaram campanha russa de phishing que envia SMS falsos imitando suporte de apps de mensagens para roubar credenciais de contas
Ataque oculto: como repositórios benignos do GitHub podem esconder shells reversos contra ferramentas de IA
Ferramentas de IA que clonam repositórios do GitHub podem ser enganadas para executar payloads maliciosos sem código explícito no repositório, permitindo que invasores obtenham shells interativos com
SecondFi anuncia recuperação em duas semanas após exploração em carteira Cardano
SecondFi concluiu investigação forense, mapeou saldos finais e promete devolver ativos em até duas semanas; usuários não devem agir por conta própria.