Die niederländischen Geheimdienste MIVD und AIVD haben bestätigt, dass russische staatlich unterstützte Hacker eine laufende Phishing-Kampagne gegen Messaging-Apps durchführen. Ziele sind Regierungsbeamte, Militärangehörige und Journalisten — auch aus den Niederlanden selbst.
Die Angreifer nutzen raffinierte Phishing- und Social-Engineering-Techniken, um die Authentifizierungsfunktionen der Apps zu missbrauchen und Konten zu übernehmen. Anschließend können sie neue Nachrichten heimlich überwachen.
Gefälschter Sicherheits-Chatbot als Köder
Eine Haupttaktik besteht darin, einen gefälschten “Signal Security Support Chatbot” zu impersonieren. Dieser warnt den Nutzer vor angeblich verdächtigen Aktivitäten und fordert ihn auf, einen Verifizierungscode einzugeben. Die Nachricht täuscht vor: “Wir haben verdächtige Aktivitäten auf Ihrem Gerät bemerkt, die zu Datenlecks führen könnten. Um dies zu verhindern, müssen Sie ein Verifizierungsverfahren durchlaufen.”
Sobald das Opfer den SMS-Verifikationscode und die Signal-PIN preisgibt, können Angreifer das Konto vollständig übernehmen — sogar auf ihrem eigenen Gerät registrieren.
Besonders tückisch: Die Täuschung funktioniert
Ein kritischer Punkt: Signal speichert Chat-Verlauf lokal auf dem Gerät. Wenn Opfer später ein neues Konto mit ihrer Telefonnummer erstellen, erhalten sie Zugriff auf alle alten Nachrichten. Dies kann sie in falscher Sicherheit wiegen — tatsächlich hat der Angreifer längst die Kontrolle behalten.
Die Niederländer warnen deutlich: “Das Opfer kann nicht auf sein Konto zugreifen, kann aber ein neues Signal-Konto mit seiner bestehenden Telefonnummer erstellen — weil der Angreifer das kompromittierte Konto bereits mit einer neuen Nummer verlinkt hat. Da Signal den Chat-Verlauf lokal speichert, können Opfer nach der Neuregistrierung auf ihre alte Geschichte zugreifen und könnten annehmen, dass nichts schiefgelaufen ist. Dies ist eine gefährliche Fehleinschätzung.”
Zweite Angriffsmethode: Geräte-Linking
Auch das Geräte-Linking-Feature wird missbraucht. Angreifer versenden gefälschte QR-Codes oder Links, die als Einladungen zu Gruppen- oder Direktchats getarnt sind. Beim Scannen oder Öffnen wird nicht das Opfer-Gerät verlinkt, sondern das des Angreifers.
Signal und WhatsApp bieten diese Funktion legit an — sie ermöglicht die Synchronisierung über mehrere Geräte. Aber in bösen Händen: Der Hacker erhält Zugriff auf Nachrichten, kann Gespräche in Echtzeit überwachen und Nachrichten im Namen des Opfers versenden. Im Gegensatz zur vollständigen Kontoübernahme bemerkt das Opfer häufig lange nichts.
Signal und WhatsApp reagieren
Signal postete auf BlueSky: “Wir sind uns bewusst, dass es zielgerichtete Phishing-Angriffe gab, die zur Kontoübernahme führten, auch bei Regierungsbeamten und Journalisten. Signal’s Verschlüsselung und Infrastruktur wurden nicht kompromittiert und bleiben robust. Diese Angriffe wurden durch raffinierte Phishing-Kampagnen durchgeführt, um Nutzer dazu zu bringen, Informationen — SMS-Codes und/oder Signal-PIN — preiszugeben.”
Das Unternehmen betont: Sie warnen immer davor, diese Codes mit niemandem zu teilen — nicht mit Signal-Mitarbeitern oder Services.
Empfehlungen für Nutzer
Die niederländischen Dienste raten:
- Keine sensiblen oder klassifizierten Informationen über Messaging-Apps austauschen, es sei denn, dies ist ausdrücklich genehmigt
- Die Liste der verlinkten Geräte regelmäßig überprüfen und unbekannte Geräte sofort entfernen
- Unaufgeforderte Einladungen, Links oder QR-Codes ignorieren — nur solche öffnen, deren Legitimität über einen anderen, vertrauenswürdigen Kanal überprüft wurde
Kein neues Phänomen
Solche Kampagnen gibt es nicht zum ersten Mal. Google berichtete bereits, dass russische Akteure Signal-Nutzer angegriffen haben, indem sie Geräte-Linking-Features missbrauchten. Im Dezember identifizierte GenDigital eine WhatsApp-QR-Code-Phishing-Kampagne in Tschechien — ohne dass ein spezifischer Täter benannt wurde.
Auch Deutschland warnte kürzlich vor ähnlichen Signal-Kontoübernahmen, die auf hochrangige Personen abzielen.