I servizi di intelligence olandesi AIVD e MIVD mettono in guardia contro attacchi di phishing sferrati da hacker russi tramite le app Signal e WhatsApp. I servizi informativi sottolineano che ciò non è dovuto alla tecnologia o alla sicurezza delle app, bensì al comportamento degli utenti stessi.
La minaccia prende di mira gli account personali degli utenti, come quelli di personalità di spicco, militari e funzionari pubblici. Secondo l’AIVD, anche i giornalisti possono essere considerati obiettivi di interesse.
Per accedere agli account, gli hacker cercano di ottenere i codici di verifica e i PIN degli utenti. Il metodo più comune consiste nel fingersi un chatbot dell'assistenza di Signal e chiedere i tuoi codici. Tuttavia, il supporto di Signal non dispone di un chatbot e non contatta mai gli utenti tramite l'app.
Un altro metodo di phishing consiste nel tentativo da parte degli hacker di indurre gli utenti a scansionare codici QR o a cliccare su link, ma in realtà il codice QR collega il dispositivo dell'hacker all'account della vittima.
In entrambi i casi, la violazione richiede un'azione manuale da parte dell'utente. Le agenzie sottolineano che si tratta della violazione di singoli account e che ciò non significa che le applicazioni Signal o WhatsApp siano state compromesse.
Signal presa di mira proprio per la sua buona reputazione
I tentativi di phishing rappresentano un problema per tutti i servizi online. Secondo i servizi di intelligence, il forte interesse russo per Signal si spiega con l'ottima reputazione dell'app: «Signal è nota come strumento di comunicazione affidabile e indipendente e offre la possibilità di inviare messaggi con crittografia end-to-end. Per questo motivo, è ampiamente utilizzata all'interno delle amministrazioni pubbliche per proteggere le comunicazioni interne», secondo quanto riportato da AIVD.
AIVD ha pubblicato un consulenza informatica con consigli su come gli utenti possono proteggersi dai malintenzionati.
Signal fornisce inoltre indicazioni su una pagina di assistenza ufficiale su Come rimanere al sicuro su Signal.
Signal ha già risposto ai tentativi di phishing a livello mondiale sui social, tra cui Bluesky, Mastodon e X.
We are aware of recent reports regarding targeted phishing attacks that have resulted in account takeovers of some Signal users, including government officials and journalists. We take this very seriously. 1/7
— Signal (@signal.org) 9 maart 2026 om 17:12
To be clear: Signal’s encryption and infrastructure have not been compromised and remain robust. These attacks were executed via sophisticated phishing campaigns, designed to trick users into sharing information – SMS codes and/or Signal PIN – to gain access to users’ accounts. 2/7
— Signal (@signal.org) 9 maart 2026 om 17:12
These attacks, like all phishing, rely on social engineering. Attackers impersonate trusted contacts or services (such as the non-existent “Signal Support Bot”) to trick victims into handing over their login credentials or other information. 3/7
— Signal (@signal.org) 9 maart 2026 om 17:12
[image or embed]
To help prevent this, remember that your Signal SMS verification code is only ever needed when you are first signing up for the Signal app. To protect people from such phishing, Signal actively warns users against sharing their SMS code and PIN. 4/7
— Signal (@signal.org) 9 maart 2026 om 17:12
[image or embed]
We also want to emphasize that Signal Support will *never* initiate contact via in-app messages, SMS, or social media to ask for your verification code or PIN. If anyone asks for any Signal related code, it is a scam. We make this clear when users receive their SMS code during initial signup. 5/7
— Signal (@signal.org) 9 maart 2026 om 17:12
While we build robust technical safeguards, user vigilance is ultimately the best defense against phishing. We will continue to work on mitigating these risks via interface design and signposting throughout the app. 6/7
— Signal (@signal.org) 9 maart 2026 om 17:12
In the meantime, please stay alert, and never share your SMS verification code or Signal PIN with anyone. 7/7 support.signal.org/hc/en-us/art…
— Signal (@signal.org) 9 maart 2026 om 17:12
[image or embed]
Resta informato
Vuoi rimanere aggiornato sulle ultime novità Signal notizie, suggerimenti e aggiornamenti? Seguici su Threads, Bluesky o Mastodon.
