Kreml-støttede aktører forsøger at kapre Signal‑ og WhatsApp‑konti over hele verden

Eskil Sørensen

03.10.2026 16:40

Hollandske efterretningstjenester advarer om målrettede kontoovertagelser mod embedsmænd, militært personel og andre.

Russiske statsstøttede hackere er i gang med en global kampagne, der sigter direkte mod Signal‑ og WhatsApp‑brugere med højt profilerede roller. Det advarer de hollandske efterretningstjenester MIVD og AIVD i en ny offentliggjort sikkerhedsmeddelelse ifølge en artikel i The Record.

Kampagnen går efter brugerne selv

Ifølge de to tjenester er især embedsmænd, diplomater og militært personel blandt målene, og flere hollandske regeringsansatte er allerede kompromitteret. Myndighederne understreger samtidig, at også journalister og andre personer med efterretningsmæssig interesse for Rusland kan være i skudlinjen.

Både Signal og WhatsApp anvender den velrenommerede Signal‑protokol, som fortsat regnes blandt de mest robuste løsninger for end‑to‑end‑kryptering. Men stærk kryptografi hjælper ikke, hvis en angriber overtager selve kontoen.
AIVD’s direktør Simone Smit formulerer det sådan:

“Det er ikke Signal eller WhatsApp som platforme, der er kompromitteret. Det er individuelle brugerkonti, der bliver målrettet.”

Med andre ord: Der er intet teknisk brud på protokollen, ingen sårbarhed i infrastrukturen – kun klassisk social engineering i moderne forklædning.

Impersonering af support – den velkendte men effektive taktik

Kampagnen misbruger de samme sikkerhedsfunktioner, der normalt beskytter brugerne. Angriberne

udgiver sig for at være officiel support
udløser verificeringskoder ved at starte en kontoregistrering på offerets telefonnummer
presser brugeren til at udlevere koden “for at sikre kontoen”

Hvis koden gives, kan angriberen registrere kontoen på sin egen enhed og dermed få adgang til både historik og fremtidige beskeder. Derfra kan de både læse med og skrive som offeret.

Derudover observerer de hollandske tjenester en anden metode: at lokke brugere til at scanne falske QR‑koder eller klikke på links, der kobler angriberens enhed til offerets konto via “linked devices”. En taktik, der er særligt effektiv over for travle brugere, som er vant til at scanne QR‑koder på autopilot.

En velkendt russisk disciplin

Angrebene passer ifølge The Records artikel ind i en længere række af russiske cyberspionagekampagner rettet mod regeringer, forskningsmiljøer, militær og journalister. Google har tidligere dokumenteret, hvordan russiske aktører forsøgte at få adgang til Signal‑konti tilhørende ukrainske soldater og journalister. I et særligt opsigtsvækkende tilfælde blev Signal‑konti fra beslaglagte enheder på slagmarken koblet direkte til russiske militære systemer for videre udnyttelse.

Kombinationen af social engineering og udnyttelse af legitime funktioner gør kampagnen vanskelig at opdage – og endnu sværere at stoppe, hvis brugerne ikke er opmærksomme.

De klassiske gode og nødvendige råd

De hollandske tjenester benytter sig af lejligheden til at gentage de gode gamle råd:

Del aldrig verificeringskoder. Ikke engang med “support”.
Scan ikke QR‑koder fra ukendte afsendere.
Ignorér alle beskeder, der påstår at være fra Signal‑ eller WhatsApp‑support.
Aktivér PIN / registreringslås for at tilføje et ekstra lag sikkerhed.

Lærte og brugte vi dog bare alle disse råd, så ville meget af industrien være død.

Læs mere

https://therecord.media/russian-hackers-target-signal-whatsapp-warn-dutch-intelligence-agencies

Trusselsvurdering