Hackers estão enganando usuários do Signal com mensagens falsas de suporte para roubar chaves de recuperação de backup, revelou investigação em maio de 2026. A campanha permite que invasores acessem o histórico completo de mensagens criptografadas de jornalistas e ativistas, contornando a criptografia ponta-a-ponta do aplicativo.
Como o golpe funciona
A campanha de phishing envia mensagens dentro do próprio Signal, fingindo ser da equipe de suporte oficial. O aviso falso afirma que os dados da conta correm “risco de perda permanente por problema de sincronização” e orienta a vítima a copiar sua chave de recuperação de backup nas configurações do aplicativo.
O texto instrui o usuário a navegar até Configurações → Backups → Configurar → Ativar backups → Ver Chave de Recuperação, copiar a chave de 64 caracteres e colá-la no chat com o falso atendente. Com essa chave em mãos, o atacante pode descriptografar todos os backups de mensagens armazenados nos servidores do Signal.
O sinal de alerta mais evidente é o rótulo “Nome não verificado” sob o remetente da mensagem, indicando que o contato não é quem diz ser. O golpe também usa ameaças repetidas de perda total de dados para pressionar a vítima.
Quem são os alvos
Os primeiros relatos vieram de ativistas contrários ao Partido Comunista Chinês, segundo o analista Josh Rogin, do Washington Post. Mohammed Al-Maskati, diretor do Digital Security Helpline da Access Now, confirmou que outras pessoas fora do universo de ativistas chineses também receberam as mensagens fraudulentas, sugerindo que a campanha é mais ampla ou que diferentes grupos usam a mesma tática.
- 28 de maio de 2026 — Josh Rogin divulga screenshots do golpe no X (Twitter), relata alvos entre ativistas
- 29 de maio — Malwarebytes e CyberInsider publicam análises técnicas detalhadas da campanha
- 31 de maio — TechCrunch confirma que alvos incluem jornalistas e ativistas de diferentes regiões
- Junho de 2026 — Pesquisadores alertam que a técnica pode se espalhar para outros grupos
| Etapa do golpe | Ação do atacante | Objetivo |
|---|---|---|
| 1. Contato inicial | Envia mensagem fingindo ser “Signal Support” | Ganhar confiança da vítima |
| 2. Criar urgência | Avisa sobre “perda permanente de dados” | Pressionar ação rápida |
| 3. Instruir vítima | Orienta a copiar chave de recuperação | Obter a chave de 64 caracteres |
| 4. Coletar a chave | Pede que a chave seja colada no chat | Roubar credencial de descriptografia |
| 5. Acessar backups | Usa a chave para descriptografar backups | Ler todo histórico de mensagens |
Por que é perigoso
O Signal armazena backups criptografados nos seus servidores, protegidos por uma chave de recuperação de 64 caracteres que nunca deve sair do aparelho do usuário. Ao obter essa chave e assumir o controle da conta, o atacante consegue descriptografar todo o histórico de conversas — não apenas mensagens futuras, mas anos de comunicação passada.
A abordagem é particularmente eficaz porque não tenta quebrar a criptografia do Signal. Em vez disso, o golpe explora o fator humano: convence a vítima a entregar voluntariamente a única peça que protege seus dados. A técnica é mais valiosa que um simples sequestro de conta, pois revela comunicações anteriores que poderiam conter informações confidenciais, fontes jornalísticas ou estratégias de organizações.
Como se proteger
Medidas essenciais para usuários do Signal:
- Nunca compartilhe a chave de recuperação de backup com ninguém — o suporte legítimo do Signal nunca pede essa informação e nunca inicia contato com usuários
- Desconfie de mensagens não solicitadas dentro do Signal, especialmente com alertas urgentes sobre perda de dados
- Ative o bloqueio de registro (Registration Lock) e defina um PIN seguro armazenado em um gerenciador de senhas
- Configure mensagens temporárias com prazo curto — isso limita o volume de dados acessíveis caso o backup seja comprometido
- Verifique sempre o rótulo de verificação sob o nome do remetente — “Nome não verificado” indica que a identidade não foi confirmada