Signal und WhatsApp nutzen beide das Signal-Protokoll, ein System zur Ende-zu-Ende-Verschlüsselung, das weithin als der stärkste verfügbare Schutz für Nachrichteninhalte während der Übertragung gilt. Lesbar bleiben Nachrichten allerdings, sobald ein Angreifer Zugriff auf das Gerät oder das Konto eines Nutzers erlangt. Genau hier setzt die Kampagne an.

„Es ist nicht so, dass Signal oder WhatsApp als Ganzes kompromittiert wurden“, erklärte AIVD-Generaldirektorin Simone Smit. „Es werden einzelne Nutzerkonten angegriffen.“

Die Angreifer geben sich typischerweise als Kundendienst-Konten aus und versuchen, ihre Opfer zur Herausgabe von Verifizierungscodes oder PINs zu bewegen, die für den Zugriff auf das Messenger-Konto nötig sind. Die Codes können sie selbst auslösen, indem sie mit der Telefonnummer des Ziels den normalen Registrierungsvorgang starten: Signal und WhatsApp versenden automatisch einen Verifizierungscode an jede bei der Kontoregistrierung eingegebene Nummer.

Als vermeintliches Support-Personal behaupten die Täter anschließend, das Opfer müsse den Code teilen, um sein Konto zu sichern oder zu verifizieren. Gibt das Opfer den Code preis, können die Angreifer ihn auf ihrem eigenen Gerät eingeben und das Konto übernehmen – sie lesen dann Nachrichten und versenden im Namen des Opfers eigene.

Eine zweite Methode besteht darin, Nutzer zum Scannen schädlicher QR-Codes oder zum Anklicken von Links zu bewegen. Darüber wird das Gerät des Hackers über die Funktion für verknüpfte Geräte mit dem Konto des Opfers verbunden, was Zugriff auf Chats und Nachrichtenverlauf eröffnet.

Die Kampagne knüpft an frühere russische Cyberoperationen gegen Messenger an, die von Amtsträgern, Journalisten und Militärangehörigen genutzt werden. Sicherheitsforscher von Google hatten im vergangenen Jahr gewarnt, dass die weite Verbreitung von Signal unter ukrainischen Soldaten, Politikern und Journalisten den Dienst zu einem häufigen Ziel russischer Spionage gemacht habe. In einem Fall verknüpften russische Militärhacker Signal-Konten von erbeuteten Geräten aus dem Gefechtsfeld mit ihren eigenen Systemen, um sie weiter auszuspähen.

Die niederländischen Dienste raten Nutzern, niemals Verifizierungscodes weiterzugeben, keine unbekannten QR-Codes zu scannen und Nachrichten zu ignorieren, die angeblich vom Signal-Support stammen.