Em um ataque de phishing direcionado em 6 de março de 2026, um parlamentar federal australiano e três assessores tiveram suas contas pessoais do WhatsApp comprometidas. Os atacantes usaram um método simples, mas eficaz: primeiro, dispararam códigos de verificação legítimos para os dispositivos das vítimas e, em seguida, entraram em contato com elas se passando por contatos de confiança, pedindo esses códigos. Uma vez fornecidos, os hackers vincularam as contas aos seus próprios dispositivos, obtendo efetivamente controle total sobre as comunicações. A violação foi confirmada durante uma audiência do Senado em 25 de maio, onde autoridades do Departamento de Serviços Parlamentares (DPS) detalharam a progressão do incidente.
O Diretor de Informática do DPS, Mike Webb, explicou que o padrão do ataque indicava um esforço coordenado por um ator estatal estrangeiro. As contas comprometidas eram pessoais, mas também foram acessadas em dispositivos gerenciados pelo DPS, levantando alarmes sobre vulnerabilidades entre plataformas. O objetivo dos atacantes era assumir o controle das contas, o que conseguiram em todos os quatro casos. O DPS notificou imediatamente a Diretoria de Sinais Australiana (ASD) e bloqueou temporariamente o acesso ao WhatsApp Web na rede parlamentar de 9 a 16 de março para conter possíveis propagações.
O ataque dependeu fortemente de engenharia social, em vez de explorações técnicas sofisticadas. O phishing continua sendo uma das ameaças cibernéticas mais eficazes porque ataca a psicologia humana. Os hackers se passaram por contatos de confiança — possivelmente até mesmo outros parlamentares cujas contas já estavam comprometidas — para solicitar o código de verificação. Essa abordagem baseada em confiança tornou as vítimas mais propensas a cooperar. Uma vez que o atacante inseria o código, o WhatsApp vinculava automaticamente o dispositivo, dando a ele acesso total a mensagens, mídia e listas de contatos.
Esse método reflete táticas alertadas por agências de segurança cibernética em todo o mundo. Em 2025, o Centro Nacional de Segurança Cibernética do Reino Unido e a Agência de Segurança Cibernética e Infraestrutura dos EUA emitiram avisos detalhando técnicas idênticas de phishing direcionadas a usuários do WhatsApp. O ataque australiano sugere que esses agentes de ameaças se tornaram mais agressivos, visando especificamente figuras políticas de alto valor. O oficial do DPS observou que os atacantes pareciam ter conhecimento prévio das redes das vítimas, tornando as mensagens de phishing altamente convincentes.
Ao descobrir a violação, o DPS agiu rapidamente para isolar a ameaça. Eles bloquearam os navegadores do WhatsApp na rede parlamentar — uma medida que interrompeu o fluxo de trabalho, mas evitou novos comprometimentos de contas. Os indivíduos afetados receberam suporte imediato, e a ASD conduziu uma investigação forense. Após o incidente, o DPS instou todos os parlamentares e assessores a revisarem suas configurações de segurança, ativarem a autenticação de dois fatores e terem cuidado ao compartilhar códigos de verificação ou informações sensíveis por meio de aplicativos de mensagens.
Este incidente faz parte de um padrão maior de ataques cibernéticos direcionados a entidades governamentais australianas. Entre julho de 2025 e março de 2026, o DPS detectou 46 incidentes de malware, quase 20.000 tentativas de phishing e 1.458 alertas cibernéticos. O volume expressivo ressalta a ameaça persistente enfrentada por escritórios políticos. Autoridades enfatizaram que, embora aplicativos de mensagens como o WhatsApp ofereçam conveniência, eles não foram projetados para comunicações altamente sensíveis. A violação reforça a necessidade de protocolos robustos de segurança cibernética e treinamento contínuo da equipe.
O incidente de hacking destaca vulnerabilidades críticas no uso de dispositivos pessoais em ambientes seguros. Figuras políticas e suas equipes devem adotar uma mentalidade de segurança em primeiro lugar, tratando qualquer solicitação inesperada de códigos de verificação com suspeita. A implementação de métodos de autenticação resistentes a phishing, como chaves de segurança de hardware, pode adicionar uma camada extra de proteção. Simulações regulares de segurança cibernética podem ajudar a equipe a reconhecer e relatar tentativas de phishing antes que elas tenham sucesso. À medida que as ameaças evoluem, a adaptação contínua e a vigilância continuam sendo a melhor defesa, garantindo que mesmo os canais de comunicação mais confiáveis não se tornem portas de entrada para adversários estrangeiros.