FBI a CISA varují: ruská rozvědka kompromituje účty na Signalu a WhatsAppu
Americké agentury FBI a CISA vydaly 20. března 2026 společné varování o rozsáhlé kampani napojené na ruské zpravodajské služby. Kampaň se zaměřuje na získávání kontroly nad účty v komunikačních aplikacích – primárně v Signalu a WhatsAppu – s cílem sledovat komunikaci vysoce hodnotných cílů.
Kampaň probíhá prostřednictvím cílených phishingových útoků, nikoliv zneužitím technické zranitelnosti v samotných aplikacích. Útočníci se vydávají za technickou podporu Signalu a kontaktují oběti přímo prostřednictvím aplikace s varováním o podezřelé aktivitě na jejich účtu, možném úniku dat, nebo pokusu o neoprávněný přístup. Pokud cíl uvěří zprávě, je následně vyzván, aby sdělil verifikační kód zaslaný SMS a také svůj PIN kód – oboje útočníci záměrně sami iniciují tím, že zároveň požádají Signal o zaslání tohoto kódu na číslo oběti. Po získání kódu a PINu přesunou útočníci číslo na zařízení pod svou kontrolou a od té chvíle mají plný přístup ke všem zprávám i kontaktům.
Ve WhatsAppu je mechanismus obdobný; útočníci přes podvodný web nebo zprávu přesvědčí oběť, aby povolila tzv. propojené zařízení (linked device), čímž jim umožní číst příchozí i odchozí zprávy v reálném čase bez vědomí majitele účtu.
Podle FBI a CISA se kampaň zaměřuje zejména na současné i bývalé vládní úředníky, pracovníky armády, politické představitele a novináře. V globálním měřítku bylo k datu vydání varování kompromitováno tisíce účtů. Útočníci přitom nezlomili šifrování aplikací – Signal ani WhatsApp nebyly technicky prolomeny. Celý útok je postaven na sociálním inženýrství a zneužití důvěry oběti.
FBI a CISA v varování doporučují přijmout konkrétní preventivní opatření, která jsou účinná bez ohledu na to, zda uživatel pracuje ve veřejném nebo soukromém sektoru. V Signalu je nejdůležitějším krokem aktivace záznamu propojených zařízení a pravidelné ověřování, zda se tam nevyskytuje neznámá položka; případné nerozpoznané zařízení by mělo být okamžitě odstraněno. Dále se doporučuje nastavit tzv. registrační zámek (Registration Lock) v Nastavení – Účet, kde Signal vyžaduje PIN při každé nové registraci čísla. Tím útočník, i kdyby měl přihlašovací SMS kód, bez PINu nové zařízení nezaregistruje. Tento přístup je klíčový zejména pro uživatele, kteří komunikují citlivé informace nebo zastávají exponované pozice.
Ve WhatsAppu platí analogické doporučení: aktivovat dvoufázové ověření v Nastavení – Účet – Dvoufázové ověření a pravidelně kontrolovat seznam propojených zařízení. Oba výrobci aplikací při záznamu nového zařízení odesílají upozornění – toto upozornění by nikdy nemělo být ignorováno.
Varování FBI a CISA přichází v době, kdy šifrované zprávovcovací aplikace jsou stále častěji využívány pro koordinaci na pracovišti, sdílení citlivých dokumentů i komunikaci s regulátory. Jejich bezpečnost není daná jen kvalitou kryptografie, ale i tím, jak pečlivě uživatelé spravují přístup ke svým účtům. Phishingový útok tohoto druhu může být stejně devastující jako přímý technický průnik do systému – výsledkem je v obou případech kompletní přístup útočníka k obsahu zpráv, aniž by šifrování samo selhalo.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 13b
Výroční zpráva ÚOOÚ za rok 2025: Rekordní nárůst stížností a varování před kapacitními limity
