Eine der zentralen Angriffsmethoden beruht laut den niederländischen Diensten auf der Vortäuschung eines angeblichen “Signal Security Support Chatbot”. Dieser meldet dem Opfer verdächtige Aktivitäten auf seinem Konto und fordert es auf, ein “Verifizierungsverfahren” abzuschließen, indem es einen an sein Telefon gesendeten Code weitergibt. In der Phishing-Nachricht heißt es sinngemäß, man habe verdächtige Aktivitäten festgestellt, die zu einem Datenabfluss hätten führen können, sowie Versuche, auf private Daten in Signal zuzugreifen; um dies zu verhindern, müsse der Nutzer das Verfahren durchlaufen und den Code an den vermeintlichen Chatbot übermitteln.

Sobald das Opfer den SMS-Code und seine Signal-PIN preisgibt, können die Angreifer das Konto vollständig übernehmen, indem sie es auf einem eigenen Gerät registrieren. Laut der Warnung lässt sich anschließend auch die mit dem Konto verknüpfte Telefonnummer auf eine vom Angreifer kontrollierte Nummer ändern. Damit erhalten die Täter Zugriff auf die Kontaktliste und eingehende Nachrichten, einschließlich Nachrichten aus Gruppenchats, und können sich durch Nachrichten aus dem gekaperten Konto als das Opfer ausgeben.

Besonders heikel ist nach Einschätzung der Dienste, dass Signal den Chatverlauf lokal auf dem Gerät speichert. Registriert ein Opfer ein neues Konto mit seiner bisherigen Telefonnummer, erhält es Zugriff auf seine alten Nachrichten zurück und könnte annehmen, es sei nichts geschehen. Die niederländischen Dienste betonen, dass diese Annahme falsch sein kann, da der Angreifer das kompromittierte Konto bereits mit einer neuen Nummer verknüpft hat.

Eine zweite beobachtete Methode missbraucht die Funktion zur Geräteverknüpfung von Signal und WhatsApp. Die Angreifer senden einen schädlichen QR-Code oder Link, der wie eine Einladung in eine Chatgruppe oder zu einem Kontakt aussieht. Scannt das Opfer den Code oder öffnet den Link, wird stattdessen das Gerät des Angreifers mit dem Konto verbunden. Über diese eigentlich für Computer oder Tablets gedachte Funktion können die Täter Nachrichten mitlesen, Unterhaltungen in Echtzeit verfolgen und im Namen des Opfers schreiben. Anders als bei der Kontoübernahme behält das Opfer hier in der Regel den Zugang zu seinem Konto, was den Angriff schwerer erkennbar macht.

Die Dienste raten, sensible oder eingestufte Informationen nur nach ausdrücklicher Freigabe über Messenger zu versenden, die Liste der verknüpften Geräte in Signal und WhatsApp zu prüfen und unbekannte Geräte sofort zu entfernen. Unaufgeforderte Einladungen, Links oder QR-Codes sollten ignoriert werden, solange ihre Echtheit nicht über einen anderen vertrauenswürdigen Kanal bestätigt ist.

Derartige Kampagnen sind nicht neu: Im vergangenen Jahr berichtete Google, dass russische Akteure Signal-Nutzer unter anderem über die Geräteverknüpfung ins Visier nahmen. GenDigital entdeckte zudem eine WhatsApp-Kampagne mit QR-Code-Phishing gegen Nutzer in Tschechien, die jedoch keinem konkreten Akteur zugeordnet wurde.