Die neue Warnung baut auf einer früheren Mitteilung aus dem März 2026 auf. Damals beschrieben FBI und CISA vor allem Phishing-Nachrichten, die es auf Verifizierungscodes, Konto-PINs oder das Verknüpfen von durch Angreifer kontrollierten Geräten mit Signal-Konten abgesehen hatten. Laut dem jetzt veröffentlichten Hinweis haben die Angreifer ihre Taktik inzwischen erweitert.
Wie das FBI mitteilt, geben sich die Akteure weiterhin als automatisierte Support-Konten von Signal aus. In den Phishing-Nachrichten wird fälschlich behauptet, Signal führe nach einer angeblichen Angriffswelle durch Hacker aus Iran und aus postsowjetischen Staaten eine verpflichtende Zwei-Faktor-Verifizierung ein. Die Opfer werden in diesem Zusammenhang dazu aufgefordert, Signal-Backups einzurichten.
Die Anweisungen führen Nutzer Schritt für Schritt durch die Backup-Funktion der App: In den Einstellungen sollen Backups aktiviert, der Wiederherstellungsschlüssel angezeigt und in die Zwischenablage kopiert werden. Wenn Betroffene diese Schritte befolgen, werden ihre Signal-Nachrichten über die Funktion Secure Backups gesichert, bei der verschlüsselte Kopien der Unterhaltungen auf den Cloud-Servern von Signal gespeichert werden.
Entscheidend ist dabei laut FBI der Backup Recovery Key. Mit diesem Schlüssel werden die gesicherten Daten Ende-zu-Ende-verschlüsselt, und genau deshalb darf er nach Angaben der Behörden niemals an Dritte weitergegeben werden: Wer den Schlüssel besitzt, kann die gesicherten Daten auf eigenen Geräten wiederherstellen.
Im nächsten Schritt schicken die Angreifer laut Warnung eine zweite Phishing-Nachricht, erneut unter dem Vorwand, vom Signal-Support zu stammen. Darin heißt es, die Daten des Kontos seien wegen eines Synchronisierungsproblems von dauerhaftem Verlust bedroht. Die Empfänger sollen daraufhin in die Backup-Einstellungen gehen, den Wiederherstellungsschlüssel erneut kopieren und in die Nachricht einfügen, angeblich um den Verlust der gespeicherten Daten zu verhindern.
Wird der Schlüssel übermittelt, können die Angreifer nach Angaben der Behörden das Backup auf ihren eigenen Geräten wiederherstellen. Dadurch erhalten sie Zugriff auf historische Nachrichten der Opfer, darunter private Chats und Gruppenunterhaltungen.
Die aktualisierte Warnung weist außerdem auf ein Detail hin, das nach einer Kompromittierung leicht übersehen werden kann. Wenn ein Angreifer den Backup Recovery Key eines Nutzers bereits erlangt hat, wird dieser alte Schlüssel nicht automatisch ungültig, nur weil der Betroffene mit derselben Telefonnummer ein neues Signal-Konto anlegt.
Stattdessen muss in den Backup-Einstellungen ausdrücklich ein neuer Backup Recovery Key erzeugt werden. Erst dadurch wird der bisherige Schlüssel für künftige Backup-Downloads ungültig. FBI und CISA betonen zugleich, dass auch ein neuer Schlüssel keinen Zugriff auf Backups verhindert, die Angreifer mit dem kompromittierten Schlüssel bereits heruntergeladen haben.
Zum Abschluss erinnern die Behörden daran, dass echte Support-Teams von Messenger-Diensten nur über offizielle Firmen-E-Mail-Adressen kommunizieren, niemals Verifizierungscodes innerhalb der Anwendung anfordern und keine Links versenden, über die Nutzer ihre Konten verifizieren oder wiederherstellen sollen. Wer glaubt, auf die Kampagne hereingefallen zu sein, soll den Vorfall dem Internet Crime Complaint Center (IC3) des FBI, einer örtlichen FBI-Dienststelle oder CISA melden.