Các tin tặc chưa xác định được cho là có liên quan đến chiến dịch lừa đảo qua ứng dụng Signal và WhatsApp đang diễn ra, nhắm mục tiêu vào các quan chức chính phủ, quân nhân và nhà báo để chiếm đoạt các tin nhắn nhạy cảm. Cảnh báo đến từ hai cơ quan an ninh và tình báo Hà Lan (AIVD và MIVD), họ xác nhận rằng các nhân viên chính phủ nước này đang là mục tiêu của các cuộc tấn công.
Các cơ quan cho biết chiến dịch dựa vào các kỹ thuật lừa đảo qua email và kỹ nghệ xã hội, lợi dụng các tính năng xác thực hợp pháp để chiếm đoạt tài khoản và bí mật theo dõi các tin nhắn mới. Trước diễn biến vụ việc, Signal đã đăng tải trên mạng xã hội rằng họ nhận thức được các cuộc tấn công lừa đảo có chủ đích dẫn đến việc chiếm đoạt tài khoản và cảnh báo người dùng nên cảnh giác.
Signal cho biết trên BlueSky: “Chúng tôi đã nắm được thông tin về các báo cáo gần đây liên quan đến các cuộc tấn công lừa đảo có chủ đích dẫn đến việc chiếm đoạt tài khoản của một số người dùng Signal, bao gồm cả các quan chức chính phủ và nhà báo. Hiện tại, hệ thống mã hóa và cơ sở hạ tầng của Signal không bị xâm phạm và vẫn hoạt động bình thường. Các cuộc tấn công được thực hiện thông qua các chiến dịch lừa đảo tinh vi, nhằm đánh lừa người dùng chia sẻ thông tin như mã SMS và mã PIN Signal, để truy cập vào tài khoản của người dùng”.
Signal nhấn mạnh khi gửi mã SMS, họ luôn cảnh báo không được chia sẻ SMS hoặc mã PIN với bất kỳ ai, kể cả nhân viên hoặc dịch vụ của Signal.
Tin nhắn lừa đảo giả mạo bộ phận hỗ trợ Signal
Một trong những phương pháp tấn công chính là giả mạo “Signal Security Support Chatbot” để cảnh báo người dùng rằng đã phát hiện hoạt động đáng ngờ trên tài khoản. Sau đó, tin nhắn yêu cầu người dùng hoàn tất “verification procedure” bằng cách chia sẻ mã xác minh được gửi đến điện thoại của họ.
“Chúng tôi phát hiện hoạt động đáng ngờ trên thiết bị của bạn, điều này có thể dẫn đến rò rỉ dữ liệu. Chúng tôi cũng phát hiện các nỗ lực truy cập vào dữ liệu cá nhân của bạn trong Signal. Để tránh điều này, bạn phải thực hiện quy trình xác minh bằng cách nhập mã cho Signal Security Support Chatbot”, nội dung tin nhắn lừa đảo Signal.
Ví dụ về chiến dịch lừa đảo qua Signal
Sau khi nạn nhân cung cấp mã xác nhận SMS và mã PIN Signal, kẻ tấn công có thể chiếm quyền kiểm soát hoàn toàn tài khoản bằng cách đăng ký tài khoản đó trên thiết bị của chúng.
Theo cảnh báo, một khi tác nhân đe dọa giành được quyền truy cập vào tài khoản, chúng cũng có thể thay đổi số điện thoại liên kết với tài khoản đó thành số điện thoại do tin tặc kiểm soát. Điều này cho phép truy cập vào danh bạ và tin nhắn đến của nạn nhân, bao gồm cả tin nhắn được gửi trong các cuộc trò chuyện nhóm.
Ngoài ra, kẻ tấn công cũng có thể mạo danh nạn nhân bằng cách gửi tin nhắn từ tài khoản bị xâm nhập. Vì Signal lưu trữ lịch sử trò chuyện cục bộ trên thiết bị, nên khi nạn nhân đăng ký lại tài khoản mới, họ sẽ lấy lại được quyền truy cập vào các tin nhắn cũ, điều này có thể khiến người dùng tin rằng không có điều gì bất thường xảy ra.
“Nạn nhân không thể truy cập vào tài khoản của mình, mặc dù họ có thể tạo một tài khoản Signal mới thông qua số điện thoại hiện có, vì kẻ tấn công đã liên kết tài khoản bị xâm phạm với một số điện thoại mới. Thực tế thì Signal lưu trữ lịch sử trò chuyện cục bộ trên điện thoại, nạn nhân có thể truy cập lại lịch sử đó sau khi đăng ký lại”, các cơ quan tình báo Hà Lan cảnh báo.
Lạm dụng chức năng liên kết thiết bị
Thông báo cũng cho biết, một phương pháp tấn công thứ hai trong chiến dịch này được các tin tặc thực hiện, đó là lợi dụng chức năng liên kết thiết bị của Signal và WhatsApp.
Kẻ tấn công gửi cho nạn nhân một mã QR hoặc liên kết độc hại, trông giống như lời mời tham gia nhóm trò chuyện hoặc kết nối với người dùng khác. Khi nạn nhân quét mã hoặc mở liên kết, thiết bị của tin tặc sẽ được liên kết với tài khoản của nạn nhân.
Cả Signal và WhatsApp đều cung cấp tính năng liên kết thiết bị, cho phép người dùng kết nối máy tính hoặc máy tính bảng với tài khoản của họ để có thể gửi và nhận tin nhắn từ nhiều thiết bị. Thông thường, việc này được thực hiện bằng cách quét mã QR do thiết bị di động chính tạo ra, mã này cấp quyền cho thiết bị mới truy cập và đồng bộ hóa tin nhắn của tài khoản.
Sau khi kết nối, kẻ tấn công có quyền truy cập vào tin nhắn của nạn nhân và có thể đọc lịch sử trò chuyện, theo dõi các cuộc hội thoại trong thời gian thực và gửi tin nhắn dưới tên của nạn nhân. Khác với việc chiếm đoạt tài khoản, nạn nhân thường vẫn giữ được quyền truy cập vào tài khoản của mình, điều này có thể khiến việc phát hiện vi phạm trở nên khó khăn hơn.
Các cơ quan tình báo Hà Lan khuyến cáo người dùng không nên chia sẻ thông tin nhạy cảm hoặc mật qua các ứng dụng nhắn tin trừ khi được sự cho phép cụ thể. Bên cạnh đó, các chuyên gia khuyến nghị nên kiểm tra danh sách các thiết bị được liên kết với tài khoản Signal và WhatsApp, đồng thời xóa ngay lập tức các thiết bị không xác định.
Các biện pháp phòng ngừa tương tự đối với các cuộc tấn công lừa đảo qua email cũng áp dụng cho các ứng dụng nhắn tin, bao gồm việc bỏ qua các lời mời, liên kết hoặc mã QR không mong muốn trừ khi người dùng đã xác minh tính hợp pháp của chúng thông qua một kênh liên lạc đáng tin cậy khác.
Các chiến dịch lừa đảo qua ứng dụng nhắn tin kiểu này không phải là mới. Năm ngoái, Google thông báo các tin tặc Nga đã nhắm mục tiêu vào người dùng Signal khi lợi dụng các tính năng như liên kết thiết bị để truy cập vào thông tin liên lạc của nạn nhân.
Trước đó vào tháng 12/2025, GenDigital phát hiện một chiến dịch lừa đảo qua mã QR liên kết thiết bị WhatsApp nhắm vào người dùng ở Cộng hòa Séc, mặc dù chưa xác định được tác nhân cụ thể nào gây ra vụ việc.
