Politico пише: «Russian hackers target officials on WhatsApp and Signal.» TechCrunch підхоплює. NBC підхоплює. Починається звичний хайп: «Signal зламали!!1»

Ні. Signal не зламали. Нічого не зламали. Це соціальна інженерія — атака на людину, а не на технологію.

Що сталося

9 березня 2026 року голландські розвідки AIVD і MIVD випустили спільний advisory (TLP:CLEAR) про масштабну російську кампанію, спрямовану на компрометацію акаунтів Signal і WhatsApp. Цілі — високопосадовці, військові, дипломати, журналісти по всьому світу. Підтверджено: голландські держслужбовці вже скомпрометовані.

Це не нова кампанія. У лютому 2026 року німецькі BfV та BSI випустили аналогічне попередження. А ще раніше, у 2025 році, Google Threat Intelligence детально задокументував ці ж методи в операціях проти українських військових. Google ідентифікував конкретних акторів: Sandworm (APT44), Turla, UNC1151 та UNC4221 — останній розробив фішинг-кіт, стилізований під додаток Кропива, що використовується ЗСУ для коригування артилерійського вогню.

Тепер кампанія масштабована на всю Європу — і тому паніка.

Як це працює

Жодних експлойтів. Жодної малварі. Два методи — обидва засновані на чистому соціальному інжинірингу.

Метод 1: Захоплення акаунту через SMS-код

Атакуючий пише жертві від імені «Signal Security Support Chatbot». Повідомляє про «підозрілу активність» або «витік даних». Просить SMS-код верифікації та Signal PIN. З цими кодами перереєстровує акаунт жертви на свій пристрій.

Жертва втрачає доступ. Але після перереєстрації бачить стару історію локально — і думає, що все гаразд.

Signal ніколи не пише користувачам напряму через чат. Якщо «Signal» написав вам у Signal — це не Signal.

Метод 2: Linked Devices через QR-код

Атакуючий надсилає QR-код або лінк — нібито «запрошення до групи» або «авторизація в Signal». Насправді цей QR-код лінкує пристрій атакуючого до акаунту жертви через штатну функцію Linked Devices.

Жертва зберігає доступ і нічого не помічає. Атакуючий читає всі повідомлення в реальному часі. Для WhatsApp — включно з історією чатів.

Це не вразливість Signal. Це легітимна функція, яку використовують не за призначенням. Так само, як фішинг — це не «злом email».

Як зрозуміти, що вас скомпрометовано

Зверніть увагу на ці ознаки:

  • Непрохані повідомлення від «Signal support» або «Security Chatbot»
  • Несподівані SMS-коди верифікації, яких ви не запитували
  • Контакт дублюється в груповому чаті
  • Учасник групи раптово стає «Deleted account» з нотифікацією
  • Невідомі пристрої в налаштуваннях Linked Devices

Якщо ви побачили хоча б одну з цих ознак — перевірте Linked Devices негайно.

Що робити: захист

Це найважливіша частина. Усі ці заходи — прості й не потребують жодних технічних навичок.

Signal

  1. Увімкніть Registration Lock — Settings → Account → Registration Lock. Це не дасть перереєструвати ваш акаунт без PIN-коду навіть за наявності SMS-коду.

  2. Встановіть надійний Signal PIN — Settings → Account → Signal PIN. Не використовуйте 4-значний — поставте складний.

  3. Перевірте Linked Devices — Settings → Linked Devices. Видаліть усі пристрої, яких ви не впізнаєте. Робіть це регулярно — раз на тиждень.

  4. Використовуйте username замість номера телефону — Settings → Profile → Username. Це ускладнює таргетування.

  5. Увімкніть зникаючі повідомлення — в кожному чаті або глобально. Навіть якщо атакуючий отримає доступ, він побачить менше.

  6. Блокуйте невідомих — Settings → Privacy → Block unknown senders.

  7. Ніколи не скануйте QR-коди з повідомлень — навіть від знайомих. Верифікуйте через інший канал.

WhatsApp

  1. Перевірте Linked Devices — Settings → Linked Devices. Видаліть невідомі сесії.

  2. Увімкніть двокрокову верифікацію — Settings → Account → Two-Step Verification.

  3. Не скануйте QR-коди з повідомлень. WhatsApp Web QR-код — тільки з офіційного сайту web.whatsapp.com.

Загальне

  • Ніколи не діліться SMS-кодами верифікації — ні з «підтримкою», ні з «безпекою», ні з ким. Ніколи.
  • Ніколи не діліться Signal PIN — це ваш останній рубіж захисту.
  • Якщо хтось просить код верифікації або PIN — це атака. Без винятків.

Контекст

Як слушно зазначила генеральний директор AIVD Сімон Сміт: «Signal або WhatsApp як цілісні системи не було скомпрометовано.» А заступник директора MIVD контрадмірал Пітер Рісінк додав, що попри наскрізне шифрування, месенджери не слід використовувати для класифікованої або чутливої інформації.

Обидва праві. Signal був і залишається найбільш захищеним масовим месенджером. Шифрування працює. Протокол надійний. Але жоден протокол не захистить від того, що людина сама віддасть ключі від свого акаунту.

Ця кампанія — чергове підтвердження тези, яку я розвину (якщо все буде добре) в травні на виступі на конференції CyCon 2026: роль технічних експлойтів у реальних кібероперціях суттєво переоцінена. Росія атакує не код — вона атакує людей. І захист починається не з патчів, а з обізнаності.

Джерела: AIVD/MIVD Advisory, Google Threat Intelligence (2025), TechCrunch, Politico, BfV/BSI (The Hacker News), Malwarebytes, NBC News