De MIVD en AIVD waarschuwen voor een actieve Russische cybercampagne die gericht is op Signal- en WhatsApp-accounts. Het gaat daarbij om accounts van militairen, diplomatieke hoogwaardigheidsbekleders en overheidsambtenaren. De Nederlandse diensten bevestigen dat Nederlandse overheidsmedewerkers zowel doelwit als slachtoffer zijn van deze aanvallen. Mogelijk zijn ook journalisten en andere personen van interesse voor de Russische overheid doelwit.
De campagne is opmerkelijk omdat er geen technische kwetsbaarheden in de berichtendiensten worden uitgebuit. Signal en WhatsApp zijn als platform namelijk niet gecompromitteerd. De aanvallers maken misbruik van legitieme beveiligingsfuncties van de apps. “Het is niet zo dat Signal of Whatsapp als gehele applicatie gecompromitteerd zijn, de dreiging gaat uit naar accounts van individuele gebruikers”, zegt directeur-generaal van de AIVD, Simone Smit.
Hoe gaan hackers aan de slag
De meest gebruikte methode is dat de Russische hackers zich voordoen als een officiële Support-chatbot van Signal. Via die weg proberen ze verificatie- en pincodes van gebruikers te bemachtigen. Wie die codes deelt, geeft de aanvallers de mogelijkheid om het account volledig over te nemen.
De Russen misbruiken ook de “linked devices”-functie die zowel in Signal als WhatsApp bestaat. Hiermee is het mogelijk om een account op meerdere apparaten tegelijk te gebruiken. Als een aanvaller slaagt in het koppelen van een eigen apparaat, kan hij inkomende berichten meelezen zonder dat de eigenaar van het account daar iets van merkt.
WhatsApp toont in Europa nu ook advertenties
Tekenen dat een account mogelijk gecompromitteerd is, zijn onder andere dubbele vermeldingen van leden in groepsgesprekken of onbekende deelnemers die zijn toegevoegd zonder melding. Gebruikers wordt aangeraden te controleren welke apparaten zijn gekoppeld in de app-instellingen en onbekende apparaten direct te verwijderen.
Russische staatshackers zijn al eerder aan de slag geweest met het plegen van aanvallen via legitieme authenticatiemechanismen. In april 2025 nog misbruikten hackers OAuth 2.0-processen om Microsoft 365-accounts over te nemen.
Cyberadvies beschikbaar
Als reactie op deze campagne hebben de MIVD en AIVD een Cyberadvies gepubliceerd. Dat advies biedt concrete handvatten om een mogelijke aanval te herkennen en te stoppen. De diensten benadrukken dat chat-apps zoals Signal en WhatsApp niet geschikt zijn voor officieel geclassificeerde overheidsinformatie of anderszins gevoelige informatie. Verificatiecodes en pincodes mogen nooit worden gedeeld via chat of met andere personen, ook niet als die vragen afkomstig lijken van officiële kanalen.
Veel bedrijven zijn inmiddels ook overgestapt op WhatsApp als officieel communicatiekanaal voor hun diensten. Daarbij geldt ook altijd dat je uiteraard geen gevoelige gegevens moet delen. Deel alleen wat er gevraagd wordt en let op met het delen van persoonlijke informatie als foto’s of paspoortgegevens.