Hackers estão explorando uma nova frente de ataque contra usuários do Signal: o roubo das chaves de recuperação usadas para acessar os backups de conversas. A investida se baseia em uma campanha de phishing cuidadosamente montada para induzir as vítimas a entregar, de forma voluntária, o código que desbloqueia o recurso Secure Backups, lançado pelo aplicativo no ano passado para armazenar conversas e mídias de maneira criptografada.
O caso ganhou projeção depois que o analista Josh Rogin, do Washington Post, divulgou uma captura de tela de uma mensagem fraudulenta enviada a usuários do Signal. No texto, os criminosos se passam pela equipe de suporte do aplicativo e afirmam que os backups de chats e arquivos de mídia estariam “em risco de perda permanente” por conta de um suposto problema de sincronização. Usando o medo de perder dados importantes, a mensagem tenta pressionar o usuário a agir rapidamente.
Como “solução” para esse problema inventado, os invasores orientam a pessoa a enviar, diretamente na conversa, a própria chave de recuperação associada ao backup online. O texto enganoso alega que esse procedimento serviria para “vincular o backup existente à conta” e que, caso o usuário ignore o pedido, isso poderia resultar em perda de acesso tanto à conta quanto aos dados armazenados. Em outras palavras, os hackers forçam um falso senso de urgência para quebrar a barreira de desconfiança da vítima.
De acordo com Rogin, a campanha atingiu, em um primeiro momento, diversos ativistas contrários ao Partido Comunista Chinês. Porém, Mohammed Al‑Maskati, diretor da Digital Security Helpline da organização Access Now, relatou que também recebeu relatos semelhantes de duas pessoas que não têm qualquer ligação com ativismo chinês. Isso sugere que o ataque pode estar se espalhando para outros públicos, ou até que grupos distintos de cibercriminosos estejam reutilizando o mesmo modelo de golpe contra diferentes comunidades.
Ainda não há clareza sobre o grau de sucesso da campanha. Al‑Maskati pontua que, mesmo que a chave de recuperação seja obtida, essa é apenas uma parte do quebra‑cabeça: os hackers ainda precisam assumir o controle da conta Signal da vítima para conseguir restaurar o backup em um dispositivo sob domínio deles. Ou seja, o ataque provavelmente combina várias etapas, como sequestro de conta e engenharia social mais sofisticada, e não depende apenas da mensagem de phishing.
A presidente do Signal, Meredith Whittaker, afirmou que a organização já está monitorando a atividade maliciosa e trabalhando em medidas de mitigação. Ela reforça que a tática usada é um exemplo clássico de phishing: em vez de “quebrar” a criptografia, os invasores tentam explorar o elo mais frágil da cadeia de segurança, que costuma ser o próprio usuário, induzindo‑o a entregar espontaneamente uma informação que deveria permanecer em sigilo absoluto.
O Signal, por sua vez, é categórico ao orientar sua base de usuários: a plataforma não inicia contato por conta própria e jamais solicita, em qualquer circunstância, código de registro, PIN ou chave de recuperação. Assim, qualquer conversa que se apresente como “Signal Support” ou “Suporte do Signal” pedindo esse tipo de dado deve ser considerada automaticamente fraudulenta. A organização já havia divulgado um alerta público recente a respeito de tentativas desse tipo, chamando atenção para mensagens que exploram medo, urgência ou ameaças de perda de acesso.
O diferencial dessa campanha é o foco direto nos backups. Em ataques anteriores ligados ao Signal, o objetivo principal geralmente era tomar o controle da conta para se passar pela vítima, acessar sua lista de contatos ou iniciar conversas se fazendo passar por ela. Esse tipo de sequestro de conta não dava acesso ao histórico antigo de mensagens, porque, pela arquitetura do aplicativo, as conversas anteriores não são automaticamente transferidas para um novo dispositivo quando a conta é registrada de novo.
Para romper essa barreira, os criminosos agora miram o Secure Backups, o sistema que permite ao usuário armazenar, de forma opcional, o conteúdo da conta em servidores do próprio Signal, sempre com criptografia de ponta a ponta. O ponto crucial é a chave de recuperação: ela é gerada e mantida apenas no dispositivo do usuário, não é enviada aos servidores do Signal e, segundo a empresa, jamais sai do controle da pessoa, a menos que ela mesma compartilhe essa informação com alguém.
Sem essa chave, ninguém – nem desenvolvedores, nem administradores de servidor, nem o próprio Signal – consegue descriptografar ou restaurar os dados do arquivo de backup. O acesso ao conteúdo exige a combinação de três elementos: registrar a conta em um novo aparelho, baixar o arquivo de backup criptografado e, por fim, inserir a chave de recuperação correta para que os dados sejam decodificados. É justamente esse terceiro elemento, impossível de ser adivinhado por força bruta em condições normais, que os golpistas tentam obter por meio de enganação.
O episódio evidencia um ponto importante: recursos avançados de proteção, como criptografia forte e backups protegidos por chaves exclusivas, não bastam se o usuário for convencido a entregar credenciais, PINs ou chaves privadas. A camada técnica continua funcionando, mas a engenharia social contorna essa defesa ao convencer a própria vítima a abrir a porta. Em termos de segurança digital, isso reforça a máxima de que a privacidade só se sustenta se o sigilo das chaves for preservado.
Para usuários do Signal, algumas práticas reduzem muito o risco de cair nesse tipo de investida. A primeira delas é desconfiar de qualquer mensagem que mencione “problema de sincronização”, “perda permanente de conversas” ou necessidade imediata de “verificar” sua conta. Plataformas legítimas costumam orientar o usuário a abrir o app, ir até o menu de configurações e realizar procedimentos a partir de opções oficiais, e não enviam pedidos diretos por códigos sensíveis dentro de um chat.
Outra medida fundamental é guardar a chave de recuperação de forma segura, em um lugar offline e sob o seu controle, como um caderno físico bem armazenado, ou em um gerenciador de senhas confiável. Fotografar a chave e deixá‑la em uma galeria de imagens desprotegida, por exemplo, expõe o usuário a riscos em caso de roubo ou invasão do celular. A lógica é tratar essa chave da mesma forma que se trataria a senha de acesso à conta bancária: algo que nunca deve ser compartilhado com terceiros.
Também é recomendável revisar regularmente as sessões ativas e dispositivos vinculados à conta, verificando se há algum aparelho desconhecido com acesso ao Signal. Caso haja qualquer suspeita de comprometimento, é importante revogar sessões desconhecidas, redefinir PINs e senhas, e considerar registrar a conta novamente em um dispositivo confiável. Em situações críticas, vale inclusive revisar as configurações de backup e, se necessário, desativar temporariamente o recurso até ter certeza de que tudo está em ordem.
Outro ponto crucial é a educação digital contínua. Pessoas que lidam com temas sensíveis, como ativistas, jornalistas, defensores de direitos humanos e profissionais que atuam em contextos de risco, precisam de treinamento específico para reconhecer padrões de ataque, avaliar mensagens suspeitas e estabelecer rotinas de verificação. Não basta confiar apenas na reputação de um aplicativo seguro; é essencial desenvolver hábitos de checagem, como confirmar informações por outros canais e jamais tomar decisões sob pressão de urgência artificial.
Embora o foco atual esteja no Signal, a técnica empregada na campanha pode facilmente ser adaptada para outras plataformas. Qualquer serviço que dependa de chaves, códigos de verificação ou senhas únicas para proteção de dados se torna potencial alvo desse tipo de golpe social. Por isso, a lição se estende a todo o ecossistema digital: nunca compartilhar códigos que desbloqueiam contas e backups, duvidar de mensagens alarmistas e assumir, como regra geral, que equipes de suporte legítimas não pedem esse tipo de dado em conversas diretas.
Em última análise, o caso demonstra que a segurança real nasce da combinação entre ferramentas bem projetadas e usuários atentos. O Signal oferece uma arquitetura forte de proteção, mas ela só se mantém se a chave de recuperação permanecer exclusivamente nas mãos do dono da conta. Qualquer pedido para informar essa chave, seja qual for o pretexto, deve ser encarado não como um procedimento técnico, e sim como um sinal claro de tentativa de golpe.