Default
Door Remote - 28 May 2026
Hackers richten zich op Signal-gebruikers in een poging hun chatback-ups te stelen als onderdeel van een nieuwe hackcampagne, zo heeft TechCrunch vernomen.
Woensdag plaatste Washington Post-analist Josh Rogin een screenshot van een nieuw soort aanval op Signal-gebruikers, waarbij hackers zich voordoen als het ondersteuningsteam van de app en het doelwit waarschuwen dat hun back-upchats en media “het risico lopen permanent verloren te gaan als gevolg van een synchronisatieprobleem.” Om dat te voorkomen, aldus het bericht, moet het doelwit de herstelsleutel delen die wordt gebruikt om toegang te krijgen tot hun online back-ups in de chat met de hackers.
"Hiermee wordt uw bestaande back-up aan uw account gekoppeld. Als u dit niet doet, kan dit ertoe leiden dat u de toegang tot uw account en alle opgeslagen gegevens verliest", lees het bericht dat afkomstig lijkt te zijn van een account genaamd Signal Support.
Dit is een phishing-poging. Als u dit bericht op Signal krijgt, volg dan de instructies niet. Veel anti-CCP-activisten hebben ook deze phishing-poging ontvangen. Pas op en wees bewust. pic.twitter.com/8J1YDcpUAX
— Josh Rogin (@joshrogin) 27 mei 2026
Rogin zei dat verschillende anti-Chinese activisten van de Communistische Partij deze kwaadaardige boodschap hebben ontvangen.
Mohammed Al-Maskati, directeur van de Digital Security Helpline van Access Now, die cyberaanvallen tegen journalisten, dissidenten en mensenrechtenactivisten onderzoekt, vertelde TechCrunch dat twee mensen soortgelijke berichten met hem deelden. Al-Maskati zei dat de twee geen Chinese activisten zijn. Dit suggereert dat de hackcampagne wijdverspreider zou kunnen zijn en zich op andere gemeenschappen zou kunnen richten, of dat er mogelijk verschillende groepen hackers zijn die dezelfde strategie gebruiken.
Het is niet duidelijk hoe effectief de hackcampagne is geweest. Al-Maskati zei dat het stelen van de herstelsleutels van het slachtoffer voor hun chatback-ups slechts één stap in de aanval is, en dat de hackers nog steeds het account van het slachtoffer moeten overnemen.
Over het algemeen is dit type aanval afhankelijk van phishing-doelen, wat betekent dat ze worden misleid om belangrijke en privé-informatie met de hackers te delen. In dit specifieke geval doen de hackers zich voor als het ondersteuningsteam van Signal om het vertrouwen van het doelwit in de app en de organisatie erachter te misbruiken.
Het is belangrijk op te merken dat Signal zegt dat het “nooit eerst contact zal opnemen” met gebruikers en nooit om hun registratiecode, pincode of herstelsleutel zal vragen. Dat betekent dat elke chat die doet alsof hij afkomstig is van “Signal Support” feitelijk afkomstig is van kwaadwillende hackers. De organisatie waarschuwde vorige maand publiekelijk voor dit exacte type aanval.
Neem contact met ons op
Heeft u meer informatie over deze aanvallen op Signal-gebruikers? Of andere soortgelijke aanvallen? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram en Keybase @lorenzofb, of e-mail.
Hoewel er de afgelopen maanden verschillende campagnes zijn geweest waarbij hackers de ondersteuning van Signal nabootsen, is dit een nieuw type aanval omdat deze zich specifiek richt op back-ups, die de oudere chats, foto's en documenten van een slachtoffer kunnen bevatten.
Eerdere hackcampagnes gericht op Signal-gebruikers probeerden het account van een slachtoffer te kapen en zich vervolgens voor te doen, vaak met het potentiële doel de contacten van het slachtoffer te stelen of gesprekken met andere mensen te beginnen alsof zij de accounteigenaar waren. In deze gevallen krijgen de hackers geen toegang tot eerdere berichten, omdat de aanvallen afhankelijk zijn van het opnieuw registreren van het account van het slachtoffer op een apparaat dat zij beheren. Vanwege de manier waarop Signal is ontworpen, verschijnen oudere berichten niet op het nieuwe apparaat.
Hackers kunnen Signal-accounts overnemen door bijvoorbeeld iemands telefoonnummer te kapen. Maar Signal biedt opt-in beveiligingsfuncties om zich daartegen te beschermen, zoals Registration Lock, dat voorkomt dat aanvallers het nummer van een doelwit aan een nieuw apparaat koppelen, tenzij ze de pincode van het doelwit stelen.
In dat scenario zou een manier om oudere berichten te bekijken het openen van de online back-up van het slachtoffer zijn, waarvoor de herstelsleutel vereist is.
Vorig jaar lanceerde Signal Secure Backups, een nieuwe opt-in-functie waarmee gebruikers de inhoud van hun account kunnen uploaden naar de servers van Signal, die zijn gecodeerd met een herstelsleutel waarvan de organisatie zegt dat deze “nooit wordt gedeeld met de servers van Signal” en “nooit het apparaat van de gebruiker verlaat”. Signal zegt dat gebruikers de herstelsleutel veilig op een notebook of in een wachtwoordbeheerder moeten bewaren.
“Zonder uw unieke herstelsleutel kan niemand (inclusief Signal) de gegevens in uw Secure Backup Archive lezen, decoderen of herstellen”, aldus Signal.
Dat betekent dat alleen de gebruiker toegang heeft tot zijn archief in een scenario waarin hij zijn account op een nieuwe telefoon registreert, de gecodeerde back-up van de servers van Signal downloadt en deze vervolgens ontsleutelt met de herstelsleutel.
Signal reageerde niet op een verzoek om commentaar.
Woensdag plaatste Washington Post-analist Josh Rogin een screenshot van een nieuw soort aanval op Signal-gebruikers, waarbij hackers zich voordoen als het ondersteuningsteam van de app en het doelwit waarschuwen dat hun back-upchats en media “het risico lopen permanent verloren te gaan als gevolg van een synchronisatieprobleem.” Om dat te voorkomen, aldus het bericht, moet het doelwit de herstelsleutel delen die wordt gebruikt om toegang te krijgen tot hun online back-ups in de chat met de hackers.
"Hiermee wordt uw bestaande back-up aan uw account gekoppeld. Als u dit niet doet, kan dit ertoe leiden dat u de toegang tot uw account en alle opgeslagen gegevens verliest", lees het bericht dat afkomstig lijkt te zijn van een account genaamd Signal Support.
Dit is een phishing-poging. Als u dit bericht op Signal krijgt, volg dan de instructies niet. Veel anti-CCP-activisten hebben ook deze phishing-poging ontvangen. Pas op en wees bewust. pic.twitter.com/8J1YDcpUAX
— Josh Rogin (@joshrogin) 27 mei 2026
Rogin zei dat verschillende anti-Chinese activisten van de Communistische Partij deze kwaadaardige boodschap hebben ontvangen.
Mohammed Al-Maskati, directeur van de Digital Security Helpline van Access Now, die cyberaanvallen tegen journalisten, dissidenten en mensenrechtenactivisten onderzoekt, vertelde TechCrunch dat twee mensen soortgelijke berichten met hem deelden. Al-Maskati zei dat de twee geen Chinese activisten zijn. Dit suggereert dat de hackcampagne wijdverspreider zou kunnen zijn en zich op andere gemeenschappen zou kunnen richten, of dat er mogelijk verschillende groepen hackers zijn die dezelfde strategie gebruiken.
Het is niet duidelijk hoe effectief de hackcampagne is geweest. Al-Maskati zei dat het stelen van de herstelsleutels van het slachtoffer voor hun chatback-ups slechts één stap in de aanval is, en dat de hackers nog steeds het account van het slachtoffer moeten overnemen.
Over het algemeen is dit type aanval afhankelijk van phishing-doelen, wat betekent dat ze worden misleid om belangrijke en privé-informatie met de hackers te delen. In dit specifieke geval doen de hackers zich voor als het ondersteuningsteam van Signal om het vertrouwen van het doelwit in de app en de organisatie erachter te misbruiken.
Het is belangrijk op te merken dat Signal zegt dat het “nooit eerst contact zal opnemen” met gebruikers en nooit om hun registratiecode, pincode of herstelsleutel zal vragen. Dat betekent dat elke chat die doet alsof hij afkomstig is van “Signal Support” feitelijk afkomstig is van kwaadwillende hackers. De organisatie waarschuwde vorige maand publiekelijk voor dit exacte type aanval.
Neem contact met ons op
Heeft u meer informatie over deze aanvallen op Signal-gebruikers? Of andere soortgelijke aanvallen? Vanaf een niet-werkapparaat kunt u veilig contact opnemen met Lorenzo Franceschi-Bicchierai op Signal op +1 917 257 1382, of via Telegram en Keybase @lorenzofb, of e-mail.
Hoewel er de afgelopen maanden verschillende campagnes zijn geweest waarbij hackers de ondersteuning van Signal nabootsen, is dit een nieuw type aanval omdat deze zich specifiek richt op back-ups, die de oudere chats, foto's en documenten van een slachtoffer kunnen bevatten.
Eerdere hackcampagnes gericht op Signal-gebruikers probeerden het account van een slachtoffer te kapen en zich vervolgens voor te doen, vaak met het potentiële doel de contacten van het slachtoffer te stelen of gesprekken met andere mensen te beginnen alsof zij de accounteigenaar waren. In deze gevallen krijgen de hackers geen toegang tot eerdere berichten, omdat de aanvallen afhankelijk zijn van het opnieuw registreren van het account van het slachtoffer op een apparaat dat zij beheren. Vanwege de manier waarop Signal is ontworpen, verschijnen oudere berichten niet op het nieuwe apparaat.
Hackers kunnen Signal-accounts overnemen door bijvoorbeeld iemands telefoonnummer te kapen. Maar Signal biedt opt-in beveiligingsfuncties om zich daartegen te beschermen, zoals Registration Lock, dat voorkomt dat aanvallers het nummer van een doelwit aan een nieuw apparaat koppelen, tenzij ze de pincode van het doelwit stelen.
In dat scenario zou een manier om oudere berichten te bekijken het openen van de online back-up van het slachtoffer zijn, waarvoor de herstelsleutel vereist is.
Vorig jaar lanceerde Signal Secure Backups, een nieuwe opt-in-functie waarmee gebruikers de inhoud van hun account kunnen uploaden naar de servers van Signal, die zijn gecodeerd met een herstelsleutel waarvan de organisatie zegt dat deze “nooit wordt gedeeld met de servers van Signal” en “nooit het apparaat van de gebruiker verlaat”. Signal zegt dat gebruikers de herstelsleutel veilig op een notebook of in een wachtwoordbeheerder moeten bewaren.
“Zonder uw unieke herstelsleutel kan niemand (inclusief Signal) de gegevens in uw Secure Backup Archive lezen, decoderen of herstellen”, aldus Signal.
Dat betekent dat alleen de gebruiker toegang heeft tot zijn archief in een scenario waarin hij zijn account op een nieuwe telefoon registreert, de gecodeerde back-up van de servers van Signal downloadt en deze vervolgens ontsleutelt met de herstelsleutel.
Signal reageerde niet op een verzoek om commentaar.