Hackers estão mirando usuários do Signal em uma nova campanha de phishing criada para roubar chaves de recuperação usadas no acesso a backups de conversas. A tentativa de ataque busca convencer as vítimas a entregar uma informação sensível que pode permitir o acesso a arquivos antigos armazenados no recurso Secure Backups, lançado pelo aplicativo no ano passado.

O alerta ganhou visibilidade após Josh Rogin, analista do Washington Post, publicar uma captura de tela mostrando uma mensagem fraudulenta enviada a usuários do Signal. No golpe, os invasores se passam pela equipe de suporte do aplicativo e afirmam que conversas e mídias salvas em backup estariam “em risco de perda permanente devido a um problema de sincronização”.

Para evitar a suposta perda dos dados, a mensagem orienta a vítima a compartilhar, diretamente no chat, a chave de recuperação usada para acessar os backups online. O texto malicioso afirma que essa ação “vincula o backup existente à conta” e que a falha em realizar o procedimento poderia resultar na perda de acesso à conta e aos dados armazenados.

Segundo Rogin, vários ativistas contrários ao Partido Comunista Chinês receberam a mensagem fraudulenta. No entanto, Mohammed Al-Maskati, diretor da Digital Security Helpline da Access Now, afirmou que duas outras pessoas também compartilharam mensagens semelhantes com ele, e que elas não eram ativistas chinesas. Isso indica que a campanha pode ser mais ampla, mirando outras comunidades, ou que diferentes grupos estejam usando a mesma estratégia.

Ainda não está claro o nível de sucesso da campanha. Al-Maskati explicou que obter a chave de recuperação dos backups é apenas uma etapa do ataque, já que os hackers ainda precisariam assumir o controle da conta da vítima para tentar restaurar os dados em outro dispositivo.

A presidente do Signal, Meredith Whittaker, disse que a empresa está trabalhando em medidas de mitigação e monitorando a atividade. O ataque explora uma técnica clássica de phishing: enganar a vítima para que ela entregue voluntariamente uma informação privada. Neste caso, os invasores abusam da confiança dos usuários no Signal ao se passarem pelo suporte oficial da plataforma.

O próprio Signal afirma que nunca entra em contato primeiro com usuários e nunca solicita código de registro, PIN ou chave de recuperação. Portanto, qualquer conversa que se apresente como “Signal Support” deve ser tratada como maliciosa. A organização já havia alertado publicamente, no mês passado, sobre esse tipo de tentativa de golpe.

A novidade desta campanha está no foco específico nos backups. Em ataques anteriores contra usuários do Signal, os invasores tentavam sequestrar a conta da vítima para se passar por ela, acessar contatos ou iniciar conversas em seu nome. Nesses casos, os hackers não conseguiam acessar mensagens antigas, porque o ataque geralmente envolvia registrar a conta da vítima em um novo dispositivo controlado pelos criminosos.

Pela arquitetura do Signal, mensagens antigas não aparecem automaticamente no novo aparelho.

Uma forma de tentar acessar esse histórico seria obter o backup online da vítima. Para isso, os invasores precisam da chave de recuperação, que é justamente o alvo da nova campanha.

O Secure Backups é um recurso opcional que permite aos usuários enviar o conteúdo da conta para servidores do Signal de forma criptografada. Segundo a empresa, a chave de recuperação nunca é compartilhada com os servidores do Signal e nunca deixa o dispositivo do usuário. A recomendação é que essa chave seja guardada com segurança, em um caderno físico ou em um gerenciador de senhas.

Sem essa chave única, ninguém, nem mesmo o Signal, consegue ler, descriptografar ou restaurar os dados do arquivo de backup. Isso significa que o acesso ao conteúdo exige três elementos: o registro da conta em um novo telefone, o download do backup criptografado e a chave de recuperação correta para descriptografar os dados.

O caso mostra como recursos avançados de segurança também podem ser explorados por campanhas de engenharia social quando os usuários são induzidos a entregar credenciais, PINs ou chaves privadas. A proteção técnica do backup permanece vinculada ao sigilo da chave de recuperação.