Phishing via SMS mira Signal

Jornalistas e ativistas estão sendo alvo de uma campanha de phishing que explora mensagens SMS falsas se passando pelo suporte do Signal. O ataque, detectado em maio de 2026, convence as vítimas a entregar suas chaves de recuperação de backup — o que dá aos atacantes acesso completo ao histórico de mensagens criptografadas.

De acordo com o TechCrunch, a campanha atingiu diversos profissionais da mídia e ativistas contrários ao governo chinês. As mensagens fraudulentas criam urgência, alegando problemas na conta que exigem ação imediata.

Como o ataque funciona

O vetor de ataque é direto: os criminosos enviam um SMS afirmando ser do “Signal Support” e pedem que o usuário compartilhe sua backup recovery key (chave de recuperação de backup). Essa chave é um código de 30 ou 64 dígitos que protege os backups criptografados do Signal.

Com a recovery key em mãos, o atacante pode solicitar a transferência do backup armazenado nos servidores do Signal para um novo dispositivo e descriptografar todo o conteúdo — conversas, arquivos e contatos. Diferente de outros ataques que interceptam apenas mensagens futuras, este compromete o histórico completo.

A Security Affairs destaca que o ataque não explora nenhuma vulnerabilidade técnica no aplicativo. Trata-se de engenharia social pura — o Signal continua seguro, mas a cadeia humana representa o elo mais frágil.

Cronologia da campanha

  1. 28 de maio de 2026 — TechCrunch publica relatório sobre a onda de ataques, identificando jornalistas e ativistas anti-CCP entre os alvos principais.
  2. 30 de maio de 2026 — Security Affairs confirma a campanha ativa e detalha a técnica de roubo de backup recovery keys via SMS.
  3. A campanha permanece em andamento, com novos relatos de vítimas surgindo continuamente.

Como se proteger

  1. Nunca compartilhe sua recovery key — O Signal nunca pede essa informação por mensagem, e-mail ou qualquer canal. Se alguém solicitar, é golpe.
  2. Ative o Signal PIN — O PIN bloqueia o registro do seu número em dispositivos desconhecidos, adicionando uma camada extra de proteção contra transferência não autorizada.
  3. Desative backup na nuvem — Vá em Configurações > Chats > Backup e desative caso não precise da funcionalidade. Backups locais eliminam o risco de roubo remoto dos dados.
  4. Verifique remetentes desconhecidos — O Signal não possui “suporte via SMS”. Mensagens de números desconhecidos pedindo dados pessoais são fraudulentas por definição.
  5. Reporte tentativas de phishing — Se recebeu a mensagem fraudulenta, encaminhe ao Signal pelo canal oficial em signal.org/security.

Fontes