Wereldwijd worden Signal-accounts gecompromitteerd via gerichte phishing-campagnes. Duizenden accounts zijn al gehackt, waaronder die van overheidsfunctionarissen, militairen, journalisten en andere personen met gevoelige informatie. De aanvallers – vaak gelinkt aan Russische inlichtingendiensten – breken niet in in de app zelf en kraken evenmin de end-to-end-encryptie van Signal. Ze misleiden simpelweg de gebruikers.Nederlandse inlichtingendiensten (AIVD en MIVD) waarschuwden begin maart 2026 voor een grootschalige, mondiale campagne. Ook de Amerikaanse FBI en CISA sloegen alarm: Russische hackers richten zich op “high-value targets” via slimme social engineering. Slachtoffers ontvangen berichten van nep-accounts die zich voordoen als “Signal Support”, “Signal Security Support Chatbot” of zelfs vertrouwde contacten.
Hoe werken deze aanvallen precies?
De aanvallers gebruiken legitieme functies van Signal tegen de gebruiker:
- Ze vragen om je SMS-verificatiecode of Signal PIN onder het voorwendsel van een “beveiligingsprobleem” of “accountverificatie”.
- Ze sturen een link of QR-code die je moet scannen om een “linked device” toe te voegen – een apparaat dat onder controle staat van de aanvaller.
- Eenmaal gelinkt kan de hacker al je berichten in realtime meelezen, je contactenlijst inzien en uit jouw naam verder phishing-berichten versturen.
Signal benadrukt zelf: “Als iemand om een Signal-gerelateerde code vraagt, is het een scam.” De app toont tijdens registratie expliciet dat je die code nooit aan iemand mag geven – niet eens aan een zogenaamde supportmedewerker. Toch trappen mensen erin, vaak omdat de berichten professioneel en urgent overkomen.
De harde les: geen app is 100% veilig als de gebruiker zelf de zwakke schakel is
Dit is precies wat deze zaak zo zorgwekkend maakt. Signal geldt al jaren als een van de veiligste berichtendiensten ter wereld: open source, end-to-end-encryptie, minimale metadata en geen winstoogmerk. Toch blijkt de app kwetsbaar zodra een gebruiker een verkeerde klik maakt of een code deelt.Het toont pijnlijk duidelijk aan: technische perfectie beschermt niet tegen menselijke fouten. Zelfs de meest privacyvriendelijke tools kunnen worden omzeild via social engineering. Aanvallers hoeven geen zero-days of complexe exploits te ontwikkelen; ze hoeven alleen maar overtuigend te liegen.De campagnes treffen niet alleen willekeurige burgers. Overheidsmedewerkers, diplomaten, militairen en journalisten zijn expliciet in het vizier. Hun gecompromitteerde accounts geven toegang tot gevoelige gesprekken, netwerken en mogelijk staatsgeheimen. En omdat de hacker uit naam van het slachtoffer kan handelen, kan de schade zich razendsnel verspreiden.Wat kun je zelf doen?
- Deel nooit je SMS-verificatiecode of Signal PIN. Nooit. Aan niemand.
- Scan geen QR-codes of klik geen links die je via Signal of WhatsApp krijgt met het verzoek om je account te “verifiëren” of een device te linken.
- Controleer regelmatig je gekoppelde apparaten in de Signal-instellingen (onder “Linked devices”).
- Wees extra wantrouwig bij urgente of onverwachte berichten die om actie vragen.
- Gebruik waar mogelijk een apart registratienummer (bijv. via een secundaire SIM) voor gevoelige accounts.
- Houd je app up-to-date en schakel eventuele extra beveiligingsopties in, zoals een sterke PIN of biometrie.
Signal zelf heeft extra waarschuwingen in de app toegevoegd en benadrukt dat het om gerichte gebruikersaanvallen gaat, niet om een lek in de app. Maar de verantwoordelijkheid ligt uiteindelijk bij ons allemaal.Deze zaak is een wake-upcall. Hoe veilig een app ook is ontworpen, de zwakste schakel blijft vaak de mens achter het scherm. In een tijd waarin statelijke actoren en cybercriminelen steeds slimmer worden in social engineering, is gezonde achterdocht geen paranoia meer – het is basisbeveiliging.Blijf alert. Want de volgende phishing-bericht kan ook in jouw Signal staan.
