In den letzten Wochen sind zahlreiche Journalisten, besonders aus dem investigativen Bereich, Ziel eines bekannten Phishing-Angriffs über den Signal Messenger geworden. Ein bislang unbekannter Akteur versucht, über gefälschte Nachrichten Zugriff auf die Signal-Konten dieser Personen zu erlangen. Betroffene sind unter anderem Mitarbeitender von großen Medienhäusern wie Die Zeit, Correctiv und netzpolitik.org, sowie Akteure aus der Zivilgesellschaft, darunter auch Rechtsanwälte.

In der Anfrage des gefälschten Support-Accounts heißt es auf englisch:
Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.
Die ersten bekannten Fälle wurden bereits Ende 2025 im Zusammenhang mit dieser Masche festgestellt, wobei John Scott-Railton vom Citizen Lab die ersten Hinweise auf diese Angriffe veröffentlichte. Die Nachrichten lauern mit Aussagen wie: „Wir haben verdächtige Aktivitäten auf Ihrem Gerät festgestellt“, und fordern die Nutzer auf, einen Verifikationscode zu senden. Wenn ein Nutzer dieser Anfrage nachkommt, wird ihm ein echter Verifikationscode von Signal zugesendet, was jedoch möglicherweise bedeutet, dass die Angreifer sofort versuchen, sein Konto auf der Basis dieser Eingabe neu zu registrieren bzw. sich Zugang zum aktuellen Signal-Konto zu verschaffen.
Mögliche Konsequenzen für Betroffene
Ein erfolgreicher Angriff könnte weitreichende Folgen haben. Angreifer könnten private Chats mitlesen, Kontakte und Netzwerke offenlegen und damit möglicherweise vertrauliche Quellen von Journalisten und politische Verbindungen von Aktivisten preisgeben. Obwohl bisher keine Betroffenen über Versuche berichtet haben, die über das Annehmen der Nachrichten und das Empfangen des Codes hinausgehen, bleibt das Potenzial dieser Angriffe ernst zu nehmen.
Herkunft und Motivation der Angreifer
Wenngleich es bislang keine klaren Hinweise auf die Identität der Angreifer gibt, legen einige Erklärungen nahe, dass ein Zugang zu Mobilfunknetzen bestehen könnte, was es Angreifern erleichtern würde, Verifikationscodes abzufangen. Bisherige Erkenntnisse zeigen, dass Angriffe vor allem auf spezifische Telefonnummercodes abzielen, was die Vermutung eines gezielten Angriffs auf bestimmte Gruppen unterstützt.
Schutzmöglichkeiten
Donncha Ó Cearbhaill, Leiter des Security Labs bei Amnesty International, betont, dass diese Angriffe keine Schwachstellen in der Signal-Anwendung selbst ausnutzen. Um sich besser zu schützen, sollten Nutzer die Registrierungssperre aktivieren. Das geht unter „Einstellungen“ –> „Konto“ und dann den Schieberegler bei „Registrierungssperre“ aktivieren. Signal selbst hat klargestellt, dass der Dienst niemals Nutzer über einen Zwei-Wege-Chat innerhalb der App kontaktieren wird und warnt eindriglich davor den Signal-PIN oder andere Sicherheitscodes wie die Registrierungssperre an Dritte weiterzugeben.
Zusätzlich eröffnet es einen gewissen Schutz, den Kontakt über andere Kommunikationskanäle zu verifizieren, sollte eine Änderung der Sicherheitsparameter angezeigt werden. Wenn in Chats die Mitteilung erscheint, dass sich die Sicherheitsnummer eines Kontakts geändert hat, deutet dies oft lediglich darauf hin, dass die Person ein neues Mobilgerät verwendet. Dennoch ist es empfehlenswert, in solchen Fällen über einen anderen Kommunikationskanal als den Signal-Textchat zu klären, warum diese Änderung stattgefunden hat. Am besten ist es, dies in einem Telefonat oder idealerweise in einem Videotelefonat zu tun. Zudem sollte man regelmäßig alle mit Signal verbundenen Geräte überprüfen und nicht mehr benötigte Geräte entfernen.


Kommentar hinzufügen