Hackers doen zich voor als Signal-support om jouw geheime herstelsleutel te stelen
San Francisco, donderdag, 28 mei 2026.
Signal staat bekend als onaantastbaar, maar hackers vonden een zwakke plek: jij. Sinds 27 mei 2026 sturen aanvallers nep-berichten namens ‘Signal Support’. Geef nooit je herstelsleutel af.
Nep-support uit de VS steelt jouw berichtenarchief
Vanuit de Verenigde Staten treft een gerichte phishingcampagne sinds 27 mei 2026 gebruikers van Signal wereldwijd — ook in Nederland [1]. De aanval is simpel maar gevaarlijk: je ontvangt een bericht van iemand die zich voordoet als ‘Signal Support’. Het verhaal is dat je chatback-up dreigt te verdwijnen door een synchronisatiefout. Razendsnel, en je klikt. De aanvallers zijn niet zomaar gelegenheidshackers. Ze richten zich specifiek op anti-Chinese Communistische Partij (CCP)-activisten én op mensen buiten die kring, zo meldde Mohammed Al-Maskati, directeur van de Digital Security Helpline van Access Now, op 27 mei 2026 [1]. Washington Post-analist Josh Rogin waarschuwde zijn volgers direct: ‘This is a phishing attempt. If you get this message on Signal, do not follow the instructions. Many anti-CCP activists have also received this phishing attempt. Beware and be aware.’ [1] Voor Nederlandse journalisten, politici en activisten die Signal dagelijks gebruiken, is dit geen ver-van-mijn-bed-show.
Wat is die herstelsleutel eigenlijk — en waarom willen hackers hem zo graag?
In 2025 introduceerde Signal de functie ‘Secure Backups’: een opt-in-optie waarmee je versleutelde back-ups van je account — inclusief oude chats, foto’s en documenten — op Signal-servers opslaat [1]. De sleutel tot die kluis? Jouw herstelsleutel, die uitsluitend lokaal op jouw apparaat staat opgeslagen. Signal zegt het zelf glashelder: ‘Without your unique recovery key, no one (including Signal) can read, decrypt, or restore any of the data in your Secure Backup Archive.’ [1] Heb je die sleutel afgegeven? Dan heeft de aanvaller toegang tot alles. Eerdere aanvallen in late 2025 en begin 2026 probeerden accounts te kapen via telefoonnummerovername, maar de functie Registration Lock blokkeerde toegang tot historische berichten zolang aanvallers geen PIN én herstelsleutel hadden [1]. Nu gaan ze dus direct voor de sleutel zelf. Slimmer, en dus gevaarlijker. Signal waarschuwde al in april 2026 expliciet voor dit type aanval en benadrukte dat hun supportteam nooit proactief contact opneemt met gebruikers en nooit vraagt om registratiecodes, PIN’s of herstelsleutels [1].
Wat moet je nu doen?
De regel is kort en makkelijk te onthouden: Signal vraagt jou nooit om je herstelsleutel [1]. Krijg je toch zo’n bericht? Negeren, verwijderen, klaar. Drie concrete stappen beschermen je vandaag nog. Eén: schakel Registration Lock in via Instellingen → Account → Registration Lock [GPT]. Twee: deel je herstelsleutel met niemand, ook niet met iemand die beweert Signal-medewerker te zijn [1]. Drie: klik niet op links in berichten die beweren afkomstig te zijn van Signal Support [1]. Cybersecuritymedia The Hacker News signaleerde op 28 mei 2026 in hun dagelijkse dreigingsbulletin meerdere actieve phishingcampagnes tegelijk, wat aantoont dat de dreiging breder is dan alleen Signal [2]. De timing is niet toevallig: grote evenementen en politieke spanningen zorgen altijd voor een golf aan oplichting en aanvallen [2]. Kort samengevat: Signal is veilig. Mensen zijn dat soms minder. Laat je herstelsleutel dus gewoon in je broekzak zitten.