Hackers ligados à inteligência russa estão refinando suas táticas para tomar o controle de contas no Signal e acessar conversas privadas, mirando agora um alvo ainda mais sensível: a chave de recuperação de backup (Backup Recovery Key). Essa mudança de foco levou o FBI e a CISA, dos Estados Unidos, a atualizarem um alerta originalmente divulgado em março, detalhando como a campanha de phishing evoluiu e quais riscos adicionais ela traz para usuários de aplicativos de mensagens seguros, como Signal e WhatsApp.
Em vez de se limitarem a solicitar códigos de verificação por SMS, PINs ou tentar vincular dispositivos não autorizados às contas das vítimas, os operadores passaram a instruir os alvos a ativar o backup do Signal e compartilhar diretamente a Backup Recovery Key dentro da própria conversa fraudulenta. Essa chave é um elemento extremamente sensível: é ela que permite restaurar o histórico de mensagens a partir de backups. Se o usuário entrega essa informação uma única vez, o atacante ganha a capacidade de restaurar o backup completo, ler mensagens privadas e de grupos e, na prática, assumir a conta.
O alerta ressalta um agravante importante: a mesma chave de recuperação pode seguir válida mesmo que o usuário crie uma nova conta no Signal utilizando o mesmo número de telefone. Isso significa que, mesmo após uma tentativa de “recomeçar do zero”, o invasor pode continuar baixando e acessando dados salvos anteriormente, enquanto a vítima acredita ter retomado o controle da comunicação.
As autoridades recomendam uma ação imediata para quem suspeita ter compartilhado a Backup Recovery Key: gerar uma nova chave nas configurações de backup do Signal. Esse procedimento invalida a chave anterior para qualquer tentativa futura de download do backup. No entanto, é fundamental entender a limitação dessa medida: ela não desfaz o acesso já obtido pelo invasor a conversas antigas. Ou seja, o dano em relação ao conteúdo passado pode já estar consolidado, embora a medida impeça novas restaurações com base naquela chave comprometida.
Na versão atualizada do alerta, identificada pelo código PSA I-062626-PSA, o FBI introduz duas designações públicas usadas para rastrear essa atividade: UNC5792 e UNC4221. De acordo com a agência, esses grupos estão associados a diferentes estruturas dos serviços de inteligência russos, incluindo oficiais do FSB integrados à Guarda de Fronteira e operadores atuando em nome de serviços militares de inteligência. Trata-se, portanto, de uma operação coordenada, com motivação política e estratégica, e não de uma campanha isolada de cibercriminosos comuns interessados apenas em ganho financeiro rápido.
O público-alvo da campanha é composto por perfis considerados de alto valor para espionagem: atuais e ex-funcionários de governos de diversos países, incluindo os Estados Unidos, militares, políticos, jornalistas, autoridades ucranianas e profissionais que lidam com temas sensíveis. Em comunicados anteriores, as agências já haviam indicado que milhares de contas em vários países foram comprometidas ao longo da operação, evidenciando escala e persistência.
A base da ofensiva é a engenharia social. Os hackers se passam por suporte oficial do Signal ou de outros aplicativos, enviando mensagens que tentam gerar pressão psicológica e sensação de urgência. Em ondas anteriores, eram comuns pedidos de códigos de verificação recebidos por SMS ou de PINs da conta, além de links falsos simulando convites para grupos. Esses links, na prática, permitiam ao atacante vincular silenciosamente um dispositivo controlado por ele à conta da vítima, passando a receber cópias das mensagens.
Na fase mais recente da campanha, a abordagem ficou mais sofisticada. Os criminosos instruem o usuário a ativar o recurso de backup no Signal, abrir a tela que exibe a Recovery Key e, em seguida, copiar e colar esse código diretamente na conversa – que o usuário acredita ser com o suporte do aplicativo. As mensagens fraudulentas costumam mencionar, por exemplo, uma suposta obrigatoriedade de ativação de autenticação em dois fatores, uma atualização crítica de segurança ou uma “correção urgente” para evitar perda de dados de conversas. O tom é sempre de emergência e de autoridade, justamente para reduzir a chance de a vítima parar e questionar a legitimidade da solicitação.
Um ponto que as autoridades reforçam é que essa tática não significa que a criptografia de ponta a ponta do Signal foi quebrada, nem que exista uma falha técnica explorável diretamente no aplicativo. O que ocorre é o comprometimento da conta por meio de manipulação psicológica e do uso indevido de funcionalidades legítimas. A criptografia continua funcionando como projetado, mas torna-se irrelevante quando o próprio usuário entrega voluntariamente informações que deveriam permanecer secretas, como códigos, PINs e chaves de recuperação.
Esse detalhe é especialmente relevante no contexto atual, em que aplicativos como Signal, WhatsApp e Telegram são amplamente adotados por jornalistas, figuras públicas, diplomatas, militares e profissionais que discutem temas delicados. A proteção criptográfica reduz a chance de interceptação em trânsito, mas não resolve vulnerabilidades ligadas ao comportamento do usuário, como cair em golpes de phishing, aceitar convites suspeitos, permitir vinculação indevida de dispositivos ou não proteger corretamente backups e chaves.
Como forma de enfatizar a gravidade da campanha, o programa Rewards for Justice, do Departamento de Estado dos EUA, oferece uma recompensa de até 10 milhões de dólares por informações que levem à identificação ou interrupção das atividades atribuídas ao UNC5792. Esse tipo de incentivo público indica o peso estratégico que o governo norte-americano atribui à operação e ao vínculo dos operadores com estruturas de inteligência estrangeira.
A ameaça não se limita ao escopo norte-americano. Autoridades de inteligência e órgãos de cibersegurança europeus também emitiram alertas relacionados a atividades compatíveis com essas campanhas, incluindo entidades dos Países Baixos, Alemanha e França. Pesquisadores independentes de segurança já haviam documentado, anteriormente, o abuso do recurso de dispositivos vinculados do Signal por operadores associados ao UNC5792, bem como a adoção de técnicas semelhantes contra outros mensageiros populares, como WhatsApp e Telegram.
Para usuários que podem ser alvo – em especial aqueles em profissões de risco ou expostos politicamente – a orientação central é taxativa: qualquer mensagem que apareça dentro do próprio aplicativo alegando ser do suporte oficial do Signal deve ser considerada suspeita. O suporte legítimo não solicita códigos de verificação, PINs, chaves de recuperação, nem orienta a colar informações sensíveis em conversas. Esses dados são pessoais e intransferíveis e nunca devem ser inseridos em chats, seja com contatos conhecidos, seja com supostos perfis de ajuda técnica.
Além de rejeitar pedidos dessa natureza, é recomendável adotar algumas práticas adicionais de segurança digital:
1. Verificar o canal oficial de contato
Se surgir uma mensagem que pareça ser do suporte, o ideal é ignorá-la no chat e checar diretamente, pelas configurações ou pelo site oficial do aplicativo, se há de fato algum aviso ou ação pendente. Não confie em links recebidos em conversas para “corrigir” problemas.
2. Nunca compartilhar capturas de tela da Recovery Key
Mesmo com pessoas de confiança, não envie fotos ou prints da tela onde a chave de backup aparece. Quem tiver acesso a essa imagem poderá, em tese, restaurar o seu histórico.
3. Ativar proteção adicional no dispositivo
Bloqueio por senha forte, biometria e criptografia do próprio aparelho dificultam o acesso local caso o telefone seja perdido ou roubado. Embora isso não impeça golpes de engenharia social, reduz a superfície de ataque geral.
4. Revisar dispositivos vinculados com frequência
No Signal, é possível ver quais aparelhos estão conectados à sua conta. Desvincule imediatamente qualquer dispositivo que você não reconheça e, em seguida, redefina credenciais sensíveis, como PIN e chave de backup.
5. Desconfiar de urgência extrema
Mensagens que dizem “responda imediatamente ou você perderá acesso” são típicas de golpes. Suporte legítimo raramente impõe prazos tão curtos, especialmente exigindo compartilhamento de segredos.
6. Educação contínua em segurança digital
Profissionais em setores estratégicos – como imprensa, política, defesa e diplomacia – devem receber treinamento recorrente sobre phishing, engenharia social e boas práticas em uso de mensageiros criptografados.
Vale lembrar também que a gestão de backups é um ponto sensível em qualquer aplicativo seguro. Ao ativar backups no Signal, o usuário assume a responsabilidade direta por guardar a Recovery Key em um local seguro e offline, como um gerenciador de senhas confiável ou anotada fisicamente em um lugar protegido. Armazenar essa chave em e-mails, blocos de notas sem proteção ou serviços em nuvem sem criptografia adicional aumenta bastante o risco de exposição.
Outro cuidado importante é diferenciar os diversos elementos de segurança que o aplicativo oferece. O PIN, o código de verificação por SMS e a Backup Recovery Key cumprem funções distintas. Um invasor pode tentar obter qualquer um deles, mas ter acesso à chave de backup costuma ser ainda mais grave, pois abre a porta para todo o histórico de conversas salvas – algo que, muitas vezes, é mais valioso do que o controle momentâneo da conta.
Por fim, é essencial que usuários mais expostos enxerguem mensageiros criptografados como parte de uma estratégia de proteção mais ampla, e não como solução mágica. De nada adianta utilizar o aplicativo tecnicamente mais seguro se, no dia a dia, a pessoa clica em links suspeitos, aceita instruções de desconhecidos ou compartilha dados que deveriam permanecer sob seu controle exclusivo. A combinação de tecnologia robusta com hábitos prudentes continua sendo a melhor defesa contra campanhas sofisticadas como as atribuídas a grupos ligados à inteligência russa.