Il Servizio di Sicurezza dell'Ucraina (SBU) e l'FBI hanno reso pubblica giovedì 25 giugno 2026 una campagna russa di lunga durata mirata a compromettere account di messaggistica crittografata. I target sono funzionari governativi, personale militare, politici e attivisti in Ucraina, Europa e Stati Uniti. Gli attaccanti non violano la crittografia end-to-end: attaccano l'utente, non l'algoritmo.
- Il SBU e l'FBI hanno scoperto una campagna russa di social engineering contro account di messaggistica, annunciata il 25 giugno 2026.
- I messaggi di phishing vengono inviati nelle ore mattutine per sfruttare lo stato fisico ed emotivo dei destinatari, secondo dichiarazione specifica del SBU.
- Intelligence olandesi (MIVD/AIVD) avevano già avvertito nel marzo 2026 di analoghe tecniche contro Signal e WhatsApp, con impersonazione del supporto e richiesta di codici di verifica.
- Signal ha dichiarato che le intrusioni avvengono tramite "sofisticate campagne di phishing" e che la propria crittografia e infrastruttura non sono compromesse.
Il metodo: SMS al risveglio, codici al trapano
La tecnica più ricorrente, documentata dal comunicato congiunto, parte da un messaggio SMS che impersona il supporto tecnico ufficiale di piattaforme di messaggistica. L'obiettivo è sollecitare credenziali, codici di verifica o altri dati di accesso. Secondo il SBU, i messaggi vengono calibrati per le ore del mattino, quando il destinatario è più vulnerabile per stato fisico ed emotivo.
Questo dettaglio temporale non è retorica giornalistica. È una variabile tattica esplicitamente dichiarata da un'agenzia di intelligence e rappresenta un elemento raro nei comunicati ufficiali, che di solito si limitano a descrivere meccanismi tecnici senza entrare nella psicologia dell'attacco. Il timing mattutino trasforma la routine quotidiana in una superficie di attacco.
Intelligence olandesi avevano già fotografato il meccanismo nel marzo 2026. Gli attaccanti impersonano il supporto Signal per chiedere codici di verifica SMS e PIN. Per WhatsApp, abusano della funzione "Linked devices" per aggiungere dispositivi non autorizzati e accedere alla cronologia messaggi. Il tutto senza mai sfondare la crittografia end-to-end, che resta matematicamente intatta.
Il paradosso: la sicurezza perfetta sposta il bersaglio
Signal e WhatsApp sono costruite su protocolli crittografici robusti. Il problema è che questa robustezza ha spostato l'attenzione degli attaccanti dal trasporto dati all'endpoint umano. Quando il tunnel è inespugnabile, si assedia la porta d'ingresso.
Le piattaforme hanno risposto con comunicazioni educative, non con contromisure strutturali. Signal ha pubblicato thread di avviso. WhatsApp ha aggiornato pagine del centro assistenza. Nessuna delle due ha implementato barriere che interrompano l'intera catena di attacco, come verifiche aggiuntive obbligatorie per la registrazione su nuovi dispositivi o ritardi forzati nella riautenticazione.
La frustrazione degli utenti è comprensibile: l'interfaccia stessa delle app, con i suoi codici di verifica e i QR code per i dispositivi collegati, diventa parte del kit di attacco. La fiducia riposta nei meccanismi di sicurezza viene weaponizzata contro chi quei meccanismi dovrebbe proteggere.
Linea di demarcazione tra campagne
Il comunicato SBU-FBI di giugno 2026 non identifica quale servizio di intelligence russo sia responsabile. Non specifica neppure quali piattaforme siano state principalmente targetate, né fornisce il numero di vittime. Questi limiti sono espliciti e vanno rispettati come tali, non colmati con ipotesi.
Un precedente advisory di CISA e FBI, datato marzo 2026, attribuiva a SVR (Servizio Estero di Intelligence russo) una campagna con tecniche simili contro funzionari governativi attuali e precedenti, personale militare, figure politiche e giornalisti. Secondo United24 Media, quell'advisory menzionava "migliaia di account compromessi", ma questa cifra non è verificabile nelle fonti primarie dirette e non compare nel comunicato SBU del giugno 2026. Non emerge evidenza diretta che le due campagne siano la stessa operazione o entità distinte.
Il dossier non chiarisce se nella fase documentata dal SBU-FBI siano avvenute compromissioni effettive o solo tentativi, né l'entità di eventuali informazioni esfiltrate.
"The messages are sent in the morning hours, when users are particularly vulnerable due to their physical and emotional state" — Security Service of Ukraine (SBU)
Cosa fare adesso
Il comunicato SBU del 25 giugno 2026 ha formulato raccomandazioni specifiche, riprese anche da Kyiv Post:
- Abilitare l'autenticazione a due fattori dove disponibile.
- Non condividere codici di verifica ricevuti via SMS con nessun interlocutore, inclusi quelli che dichiarano di essere il supporto tecnico ufficiale.
- Evitare di aprire link sospetti contenuti in messaggi inattesi.
- Non scansionare QR code provenienti da bot o contatti non verificati.
Perché cambia il perimetro di difesa
La campagna documentata dal SBU e dall'FBI ridefinisce il confine tra sicurezza consumer e sicurezza istituzionale. App di messaggistica progettate per il mercato di massa sono diventate infrastruttura critica per comunicazioni militari, diplomatiche e giornalistiche. Il loro modello di minaccia originale non contemplava APT statali che studiano bioritmi dei target.
Le organizzazioni che si affidano a queste app devono estendere il training anti-phishing dall'email alla messaggistica istantanea. Il pattern di impersonazione del supporto tecnico è altamente riproducibile e sta emergendo come standard tattico per operatori russi. La differenza tra una vittima e un funzionario che resiste sta sempre più nel riconoscimento del contesto, non nella complessità tecnica dell'attacco.
Il paradosso resta: la crittografia end-to-end funziona così bene che il punto debole è diventato chi la usa.
Fonti
- https://therecord.media/russia-ukraine-social-engineering-messaging-accounts
- https://windowsnews.ai/article/russian-linked-phishing-campaign-targets-encrypted-messaging-users-cisa-warns.406170
- https://www.kyivpost.com/post/78951
- https://techcrunch.com/2026/03/09/russian-government-hackers-targeting-signal-and-whatsapp-users-dutch-spies-warn/
- https://united24media.com/latest-news/fbi-warns-russian-hackers-hijacked-signal-whatsapp-accounts-in-global-phishing-campaign-17125
- https://therecord.media/russian-hackers-target-signal-whatsapp-warn-dutch-intelligence-agencies
- https://therecord.media/ukraine-military-personnel-cyber-espionage-uac-0184
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.