O FBI e a CISA atualizaram, nesta quinta-feira (26 de junho de 2026), um alerta que confirma: o serviço secreto russo está enganando usuários do Signal para que entreguem voluntariamente a sua chave de recuperação de backup. Com essa chave em mãos, o atacante restaura o backup da conta, lê todo o histórico de mensagens privadas e em grupo e assume o controle do perfil por tempo indeterminado. A criptografia do Signal não foi quebrada — os russos entram pela porta da frente, usando engenharia social e um recurso legítimo do app.
Pontos-chave
- Quem: múltiplos grupos do Serviço de Inteligência Russo (RIS), incluindo oficiais do FSB e militares russos, batizados de UNC5792 e UNC4221.
- O quê: phishing que se passa por “suporte do Signal” e induz a vítima a colar a chave de recuperação de backup no chat.
- Impacto: leitura de todo o histórico de mensagens e sequestro persistente da conta — a chave continua válida mesmo após criar uma conta nova no mesmo número.
- Alvo: pessoas de “alto valor de inteligência” — autoridades governamentais, militares, políticos, jornalistas e ucranianos.
- Recompensa: o Departamento de Estado dos EUA oferece até US$ 10 milhões por informações sobre os operadores do UNC5792.
Anatomia do golpe russo
A campanha descrita no alerta oficial PSA I-062626-PSA, publicado no IC3 do FBI, é refinada e didática. A mensagem chega dentro do próprio Signal fingindo ser da equipe de suporte. Em seguida, conduz a vítima por um passo a passo: ativar os backups do Signal, abrir a chave de recuperação e, por fim, colar essa chave direto na conversa. O atacante recebe o código e pronto — o cofre está aberto.
O FBI divulgou dois modelos de isca. Um se disfarça de rolout obrigatório de autenticação em dois fatores; o outro apela para a urgência, alegando uma “recuperação de dados” porque as mensagens estariam “em risco”. Ondas anteriores do mesmo grupo já usavam roubo de código SMS por verificação, coleta de PIN da conta e links de “convite para grupo” adulterados que conectavam silenciosamente um dispositivo controlado pelo atacante — tática documentada pela primeira vez pelo Google Threat Intelligence Group no início de 2025, conforme relata o The Hacker News. A operação também se estende ao WhatsApp e ao Telegram, embora o golpe da chave de recuperação seja específico do Signal.
A chave que não expira sozinha
O detalhe mais incômodo é a persistência. Entregue uma vez, a chave de recuperação de backup continua funcionando mesmo que a vítima crie uma conta nova no mesmo número de telefone. Ou seja, o atacante pode voltar e baixar backups futuros até que o usuário gere manualmente uma nova chave nas configurações. Trata-se de uma vulnabilidade de processo, não de código — o recurso de backup é legítimo e útil, mas vira arma nas mãos de quem tem a chave.
O aviso de março do FBI já indicava que a tática evoluiria. Evoluiu: saiu da perseguição a códigos de uso único e passou a capturar a chave que abre o arquivo inteiro de uma só vez. A correção é brutal e direta, segundo o BleepingComputer: gere uma nova chave em Configurações, o que invalida a antiga, e aceite que qualquer backup feito antes disso já pode estar nas mãos de outra pessoa.
Quem está na mira dos russos
Os alvos não são usuários comuns à toa. O FBI classifica as vítimas como pessoas de “alto valor de inteligência”: autoridades governamentais americanas e internacionais, atuais e ex-servidores públicos, militares, figuras políticas, jornalistas e, sobretudo, oficiais ucranianos. O aviso de março já apontava que a campanha mais ampla havia comprometido milhares de contas no mundo todo. Para o leitor brasileiro, o paralelo é direto: jornalistas que cobrem corrupção, ativistas, políticos e quaisquer profissionais que lidam com informação sensível estão no mesmo perfil de risco — e muitos usam justamente o Signal por se sentir protegidos.
A trilha de evidências é internacional. O modus operandi bate com alertas emitidos este ano pela inteligência holandesa (AIVD e MIVD), pela Alemanha (BfV e BSI) e pela França (ANSSI), segundo a análise publicada pelo HackMyIP. A atribuição é firme: o FBI vincula a atividade a múltiplas unidades do Serviço de Inteligência Russo, incluindo oficiais do FSB lotados na Guarda de Fronteira e operadores ligados a serviços militares russos.
| Etapa do ataque | O que o atacante faz | O que você não deveria fazer |
|---|---|---|
| 1. Contato | Envia mensagem dentro do Signal fingindo ser “suporte” | Confiar em contas que pedem dados no app |
| 2. Gancho | Inventa “2FA obrigatório” ou “recuperação urgente” | Sentir pressa e agir sem verificar |
| 3. Coleta | Pede para ativar backup e colar a chave no chat | Colar chave, código SMS ou PIN em conversa alguma |
| 4. Dano | Restaura o backup e assume a conta | Ignorar dispositivos vinculados desconhecidos |
A criptografia não foi quebrada
É importante separar o que falhou do que continua de pé. Os órgãos americanos são categóricos: nenhum desses ataques quebra a criptografia do Signal nem compromete o aplicativo. Os atores comprometem contas individuais por engenharia social e depois entram por um recurso legítimo. A privacidade pont-a-pont segue sendo a melhor do mercado; o elo fraco é o humano e o backup que ele gera.
Esse é um ponto que costuma confundir quem adota o Signal como “rede segura”. A ferramenta é robusta, mas blindagem técnica não anula o fato de que quem tem a chave de recuperação tem acesso ao histórico arquivado. É o equivalente digital de ter a melhor porta do bairro — e deixar a chave debaixo do tapete para quem bater educadamente. Tratar qualquer mensagem “do suporte” dentro do app como hostil passou a ser regra de higiene básica, porque o suporte legítimo nunca pede códigos, PINs ou chaves de recuperação dentro de uma conversa.
Como proteger sua conta agora
- Trate como hostil qualquer mensagem “do suporte do Signal” dentro do app. Suporte real nunca pede dados por chat.
- Nunca cole sua chave de recuperação de backup, código de verificação SMS ou PIN em uma conversa. Nenhum pedido legítimo funciona assim.
- Revise dispositivos vinculados: abra Configurações → Dispositivos Vinculados e remova qualquer item que não reconheça.
- Gere uma nova chave em Configurações se achar que entregou a antiga — isso invalida a chave roubada para downloads futuros.
- Assuma o pior para o passado: qualquer backup feito antes da troca da chave deve ser considerado comprometido.
- Habilite o bloqueio de tela do Signal (PIN/biometria) para dificultar o acesso físico à conta.
Leia também
- O mesmo vetor já tinha sido visto em campanhas anteriores: entenda como o phishing roubava chaves de backup do Signal em ataques divulgados em junho.
- Para o contexto de espionagem estatal, leia sobre o grupo russo Gamaredon explorando o WinRAR contra a Ucrânia.
- Engenharia social segue sendo o hack mais poderoso: confira por que o elemento humano continua sendo o alvo preferido dos atacantes.
Referências
- FBI IC3 — Alerta PSA I-062626-PSA: Russian Intelligence Services (oficial)
- The Hacker News — FBI Warns Russian Intelligence Hackers Target Signal Backup Recovery Keys
- BleepingComputer — FBI: Russian hackers now target Signal backup recovery keys
- HackMyIP — FBI: Russian APT Hackers Steal Signal Backup Recovery Keys via Phishing