Gerichte phishingaanval via Signal
Een voormalige vicepresident van de Duitse Bundesnachrichtendienst (BND) is slachtoffer geworden van een gerichte phishingaanval via de beveiligde berichtendienst Signal. Arndt Freytag von Loringhoven, die tot 2010 vicepresident van de BND was en later plaatsvervangend secretaris-generaal van de NAVO voor inlichtingen en veiligheid, kreeg te maken met een aanval waarbij hackers zich voordeden als de klantenservice van Signal. De aanval vond plaats op 12 maart 2026 en wordt in verband gebracht met Russische hackers die gelieerd zijn aan inlichtingendiensten.
De hackers gebruikten een klassieke phishingmethode door zich voor te doen als ‘Signal Support’ en vroegen om de registratie-PIN van het account. Door deze PIN in handen te krijgen, konden zij het telefoonnummer van het slachtoffer koppelen aan hun eigen apparaat. Omdat Signal end-to-end encryptie gebruikt, kregen de aanvallers daarmee toegang tot alle nieuwe berichten en konden zij ook berichten versturen namens de gehackte persoon. De aanval was dus niet gericht op het kraken van de encryptie, maar op het misleiden van de gebruiker.
Deze gerichte actie maakt deel uit van een bredere campagne die al enkele maanden aan de gang is. In februari waarschuwde het Duitse Bundesamt für Verfassungsschutz (BfV) al voor een cybercampagne die zich richt op officiële functionarissen, militairen en journalisten. Ook Nederlandse inlichtingendiensten AIVD en MIVD meldden begin maart wereldwijde activiteiten van hackers die in opdracht van Rusland opereren.
Strategisch belangrijk doelwit
Freytag von Loringhoven was een bijzonder interessant doelwit voor buitenlandse inlichtingendiensten. Na zijn periode als BND-vicepresident diende hij van 2010 tot 2014 als plaatsvervangend secretaris-generaal van de NAVO voor inlichtingen en veiligheid. Van 2014 tot 2022 was hij Duits ambassadeur in Polen, een cruciale positie gezien de strategische locatie van Polen in de Europese veiligheidsarchitectuur.
Bovendien publiceerde hij in 2024 een boek over de hybride oorlog van Rusland getiteld ‘Putins Angriff auf Deutschland’ (Poetins aanval op Duitsland). Deze combinatie van uitgebreide kennis over Duitse inlichtingenoperaties, NAVO-structuren en Russische hybride tactieken maakte hem tot een waardevolle bron van informatie. De succesvolle aanval op zijn Signal-account toont aan hoezeer Russische operatoren gericht zijn op personen met diepgaande institutionele kennis.
Het incident werd eerder gemeld door Duitse media en benadrukt de toenemende kwetsbaarheid van hooggeplaatste functionarissen voor digitale infiltratie.
Russische inlichtingenconnectie
De hackergroepen die deze aanvallen uitvoeren, werken direct of indirect samen met structuren van de Russische militaire inlichtingendienst GRU. Dit bevestigt het systematische en opdracht-gebaseerde karakter van ondermijnende activiteiten in de Europese cyberruimte door Russische autoriteiten, die het Westen beschouwen als een vijandige omgeving.
De methode die wordt gebruikt – het imiteren van officiële chatbots of het misbruiken van de ‘gekoppelde apparaten’-functie – is consistent met eerdere operaties die aan Russische groepen worden toegeschreven. Het doel is tweeledig: enerzijds het verkrijgen van contactgegevens en communicatiekanalen van medewerkers van speciale diensten voor het stelen van vertrouwelijke informatie, anderzijds het verder compromitteren van Europese functionarissen als onderdeel van informatie-psychologische operaties.
De Nederlandse inlichtingendiensten hebben specifiek gewaarschuwd voor pogingen om tweefactorauthenticatiecodes te onderscheppen via misleiding. De aanvallers proberen op frauduleuze wijze toegang te krijgen tot persoonlijke accounts en groepschats in Signal en WhatsApp, wat hen in staat stelt niet alleen berichten te lezen maar ook desinformatie te verspreiden via gecompromitteerde accounts.
Digitale hygiëne cruciaal
Het geval van de voormalige BND-topfunctionaris onderstreept het fundamentele belang van het naleven van basisregels voor digitale hygiëne en beveiliging. De belangrijkste les is simpel: klik niet op verdachte links en verstrek nooit autorisatiegegevens, waaronder PIN-codes, aan zogenaamde ‘klantenservices’ van messagingdiensten.
Signal zelf heeft beveiligingsmaatregelen ingebouwd om dergelijke aanvallen te voorkomen, maar deze zijn afhankelijk van gebruikersbewustzijn. De dienst waarschuwt gebruikers expliciet dat medewerkers nooit om PIN-codes of andere gevoelige informatie zullen vragen. Toch blijft de menselijke factor de grootste kwetsbaarheid in dergelijke beveiligingssystemen.
Voor hooggeplaatste personen met toegang tot gevoelige informatie bevelen beveiligingsexperts aanvullende maatregelen aan, zoals het gebruik van aparte apparaten voor officiële communicatie, regelmatige beveiligingsaudits en gespecialiseerde training om phishingpogingen te herkennen. De toenemende verfijning van deze aanvallen vereist een even verfijnd verdedigingsmechanisme.
Het incident komt op een moment van toenemende spanning tussen Rusland en het Westen, waarbij hybride oorlogsvoering – inclusief cyberoperaties, desinformatiecampagnes en economische druk – een centraal onderdeel is geworden van de Russische strategie. De aanval op Freytag von Loringhoven dient als een duidelijke herinnering dat deze conflicten niet beperkt blijven tot het slagveld, maar dagelijks worden uitgevochten in de digitale ruimte die iedereen gebruikt.
