Tài khoản Signal và WhatsApp của quan chức nhiều nước bị tấn công

Tổng cục Tình báo và An ninh Hà Lan (AIVD) và Cơ quan An ninh và Tình báo Quân đội Hà Lan (MIVD) đã công bố chi tiết về một cuộc tấn công mạng toàn cầu quy mô lớn nhắm vào những cá nhân được coi là “mục tiêu giá trị cao” thông qua ứng dụng liên lạc Signal và WhatsApp. 

Theo thông báo chính thức, các nhóm tin tặc đang tìm cách chiếm quyền truy cập vào tài khoản của quan chức cấp cao, quân nhân và công chức tại nhiều quốc gia. AIVD xác nhận đã có nhân viên chính phủ Hà Lan trở thành nạn nhân của chiến dịch này, đồng thời cảnh báo rằng phạm vi tấn công mang tính toàn cầu. Điều này cho thấy mục tiêu của chiến dịch không chỉ là thu thập thông tin từ một vài cá nhân riêng lẻ, mà có thể nhằm vào việc tiếp cận các mạng lưới liên lạc có giá trị chiến lược, nơi những trao đổi liên quan đến chính sách, quốc phòng và ngoại giao thường xuyên diễn ra.

Điểm đáng chú ý trong báo cáo tình báo là phương thức tấn công. Không giống nhiều vụ xâm nhập mạng trước đây vốn dựa vào phần mềm độc hại hoặc khai thác lỗ hổng kỹ thuật, chiến dịch lần này tập trung “thao túng chính người sử dụng”. Nói cách khác, tin tặc lợi dụng chính các tính năng bảo mật hợp pháp của ứng dụng để thực hiện các chiến dịch lừa đảo.

Theo AIVD và MIVD, mục tiêu thực sự của các cuộc tấn công không phải là nền tảng hay cơ chế mã hóa của các ứng dụng, mà là tài khoản của người dùng. Các nhóm tin tặc đã giả mạo “Signal Security Support Chatbot” để cảnh báo người dùng rằng đã phát hiện hoạt động đáng ngờ trên tài khoản. Sau đó, tin nhắn yêu cầu người dùng hoàn tất “verification procedure” bằng cách chia sẻ mã xác minh được gửi đến điện thoại của họ.

Sau khi nạn nhân cung cấp mã xác nhận SMS và mã PIN Signal, kẻ tấn công có thể chiếm quyền kiểm soát hoàn toàn tài khoản bằng cách đăng ký tài khoản đó trên thiết bị của mình.

Một khi tác nhân đe dọa giành được quyền truy cập vào tài khoản, chúng cũng có thể thay đổi số điện thoại liên kết với tài khoản đó thành số điện thoại do tin tặc kiểm soát. Điều này cho phép truy cập vào danh bạ và tin nhắn đến của nạn nhân, bao gồm cả tin nhắn được gửi trong các cuộc trò chuyện nhóm.

Ngoài ra, kẻ tấn công cũng có thể mạo danh nạn nhân bằng cách gửi tin nhắn từ tài khoản bị xâm nhập. Vì Signal lưu trữ lịch sử trò chuyện cục bộ trên thiết bị, nên khi nạn nhân đăng ký lại tài khoản mới, họ sẽ lấy lại được quyền truy cập vào các tin nhắn cũ, điều này có thể khiến người dùng tin rằng không có điều gì bất thường xảy ra.

Ngoài hình thức lừa đảo nhằm chiếm mã xác minh, chiến dịch này còn sử dụng một phương thức khác: lợi dụng chức năng liên kết thiết bị của Signal và WhatsApp. Tin tặc gửi cho nạn nhân mã QR hoặc đường dẫn được ngụy trang như lời mời tham gia nhóm trò chuyện hoặc kết nối với người dùng khác. Khi nạn nhân quét mã hoặc mở liên kết, thiết bị của kẻ tấn công sẽ được liên kết với tài khoản của họ.

Về nguyên tắc, tính năng liên kết thiết bị được thiết kế để giúp người dùng truy cập tài khoản trên nhiều thiết bị khác nhau như máy tính hoặc máy tính bảng. Thông thường, thiết bị mới phải quét mã QR được tạo từ điện thoại chính để được cấp quyền truy cập và đồng bộ hóa tin nhắn. Tuy nhiên, khi bị lợi dụng, chính cơ chế này lại trở thành con đường cho phép kẻ tấn công âm thầm theo dõi các cuộc trao đổi của nạn nhân mà họ không hề hay biết.

Điều khiến các cơ quan an ninh đặc biệt lo ngại là trong nhiều trường hợp, tài khoản của nạn nhân vẫn tiếp tục hoạt động hoàn toàn bình thường, khiến việc phát hiện xâm nhập gần như không thể nếu không có kiểm tra kỹ thuật chuyên sâu. Người dùng vẫn gửi và nhận tin nhắn như thường lệ, trong khi phía sau màn hình, các cuộc trao đổi có thể đang bị theo dõi, danh bạ liên lạc bị thu thập và mạng lưới quan hệ của nạn nhân từng bước được dựng lại.

Theo nhiều chuyên gia, việc Hà Lan trở thành một trong những mục tiêu nổi bật của chiến dịch này không phải là điều ngẫu nhiên. Quốc gia châu Âu này từ lâu được xem là một trong những trung tâm dữ liệu, logistics và kết nối thông tin quan trọng của khu vực. Đồng thời, Hà Lan cũng là nơi đặt trụ sở của nhiều tổ chức quốc tế, trong đó có Tòa án Hình sự Quốc tế. Điều đó đồng nghĩa với việc tại đây tập trung một lượng lớn dòng thông tin liên quan đến ngoại giao, tư pháp quốc tế và hợp tác an ninh.

Bên cạnh vị trí chiến lược về thông tin, lập trường chính trị của Hà Lan trong cuộc xung đột Nga - Ukraine cũng làm gia tăng mức độ nhạy cảm an ninh. Là một trong những quốc gia phương Tây ủng hộ mạnh mẽ Kiev, Hà Lan được xem là mục tiêu tiềm năng trong các hoạt động thu thập tình báo mạng liên quan đến chính sách và hợp tác quốc phòng của phương Tây.

Trong nhiều năm qua, Signal và WhatsApp được xem là những ứng dụng nhắn tin an toàn nhất thế giới nhờ cơ chế mã hóa đầu cuối. Về nguyên tắc, chỉ người gửi và người nhận mới có thể đọc được nội dung cuộc trò chuyện. Chính lớp bảo mật này đã khiến hai nền tảng trở thành công cụ liên lạc phổ biến của nhiều quan chức chính phủ, nhà ngoại giao, quân nhân và nhà báo trên toàn thế giới.

Đây cũng chính là lý do khiến các ứng dụng nhắn tin trở thành mục tiêu được tin tặc nhắm đến. Mỗi cuộc trò chuyện bị lộ không chỉ chứa nội dung tin nhắn mà còn phản ánh cấu trúc liên lạc của cả một mạng lưới: ai đang trao đổi với ai, vào thời điểm nào và trong bối cảnh gì? Khi những dữ liệu này được phân tích theo thời gian, chúng có thể hé lộ cách thông tin được truyền đi, những mối quan hệ đang tồn tại và thậm chí cả quá trình hình thành quyết định bên trong các tổ chức. Với các cơ quan tình báo, khả năng tái dựng dòng chảy thông tin này đôi khi có giá trị không kém việc tiếp cận trực tiếp các tài liệu mật.

Khi các ứng dụng nhắn tin ngày càng được nâng cấp về bảo mật, phương thức tấn công của các nhóm tin tặc cũng thay đổi. Thay vì tìm cách phá vỡ hệ thống mã hóa phức tạp của các ứng dụng nhắn tin, chúng tập trung vào điểm yếu dễ khai thác hơn là người dùng. Một khi quyền truy cập bị chiếm đoạt, mọi lớp bảo mật kỹ thuật của ứng dụng gần như trở nên vô nghĩa. Khi đó, kẻ tấn công không còn đứng bên ngoài hệ thống nữa, mà đã ở ngay bên trong cuộc trò chuyện.

Ông Cody Barrow, cựu quan chức tình báo quốc phòng Mỹ từng làm việc tại Lầu Năm Góc và Cơ quan An ninh Quốc gia Mỹ (NSA), cho rằng các nhóm tin tặc không cần phải phá vỡ hệ thống mã hóa của các ứng dụng nhắn tin. “Chỉ cần truy cập được vào tài khoản của người dùng, họ có thể theo dõi toàn bộ cuộc trò chuyện, lập bản đồ mạng lưới liên lạc và thu thập thông tin tình báo theo thời gian”, ông nhận định.

Ông Fredrik Almroth, nhà nghiên cứu bảo mật tại Detectify, cũng cho rằng cơ chế mã hóa của các ứng dụng nhắn tin hiện nay rất mạnh, khiến việc phá vỡ hệ thống gần như không khả thi. Vì vậy, nhiều cuộc tấn công tập trung vào những điểm yếu nhỏ hơn, như quy trình khôi phục tài khoản, chức năng liên kết thiết bị, mã xác minh hoặc các thủ thuật lừa đảo nhằm khiến người dùng tự cung cấp quyền truy cập.

Trước cảnh báo từ các cơ quan tình báo Hà Lan, cả Signal và WhatsApp đều khẳng định hệ thống mã hóa của họ không bị xâm phạm. Đại diện WhatsApp cho biết nền tảng này vẫn an toàn và khuyến cáo người dùng tuyệt đối không chia sẻ mã xác minh sáu chữ số cho bất kỳ ai.

Signal cũng nhấn mạnh rằng bộ phận hỗ trợ của ứng dụng sẽ không bao giờ liên hệ với người dùng qua tin nhắn hoặc mạng xã hội để yêu cầu mã xác minh hay mã PIN. Theo nhà phát triển ứng dụng, phần lớn các vụ xâm nhập hiện nay đều dựa vào các chiến dịch lừa đảo nhằm đánh lừa người dùng tự tiết lộ thông tin bảo mật.

Các cơ quan tình báo Hà Lan cũng khuyến cáo người dùng không nên trao đổi thông tin nhạy cảm hoặc mật qua các ứng dụng nhắn tin nếu chưa được phép theo quy định của cơ quan, tổ chức. Bên cạnh đó, người dùng cần thường xuyên kiểm tra danh sách các thiết bị đang liên kết với tài khoản Signal hoặc WhatsApp và xóa ngay những thiết bị không xác định.

Những nguyên tắc phòng ngừa tương tự như đối với các cuộc tấn công lừa đảo qua email cũng cần được áp dụng đối với ứng dụng nhắn tin. Người dùng nên thận trọng với các lời mời tham gia nhóm, liên kết hoặc mã QR không rõ nguồn gốc, và chỉ thực hiện thao tác liên quan đến tài khoản khi đã xác minh tính hợp pháp của yêu cầu đó thông qua một kênh liên lạc đáng tin cậy khác.

Thực tế, các chiến dịch lừa đảo nhắm vào ứng dụng nhắn tin không phải là hiện tượng mới. Năm ngoái, Google từng cảnh báo các nhóm tin tặc đã nhắm mục tiêu vào người dùng Signal bằng cách lợi dụng tính năng liên kết thiết bị để truy cập thông tin liên lạc của nạn nhân.

Trước đó, vào tháng 12/2025, công ty an ninh mạng GenDigital cũng phát hiện một chiến dịch lừa đảo sử dụng mã QR để liên kết thiết bị WhatsApp, nhắm vào người dùng tại Cộng hòa Séc, dù chưa xác định được cụ thể tác nhân đứng sau vụ việc.

Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi và mang tính xuyên quốc gia, nhiều chuyên gia cho rằng những chiến dịch tương tự sẽ còn tiếp diễn. Công nghệ bảo mật có thể tiếp tục được nâng cấp và các hệ thống kỹ thuật ngày càng phức tạp, nhưng thực tế cho thấy trong nhiều cuộc tấn công mạng hiện đại, điểm yếu không nằm ở thuật toán hay hạ tầng kỹ thuật. Khi môi trường thông tin ngày càng cạnh tranh và giá trị của dữ liệu ngày càng lớn, con người vẫn là “cánh cửa” dễ bị khai thác nhất.