Die Angriffskampagne nutzt keine technischen Schwachstellen aus, sondern setzt vollständig auf Social Engineering und Täuschung. Die Angreifer geben sich als „Signal Support” aus und kontaktieren ihre Ziele über Messenger-Dienste, um sie dazu zu verleiten, auf Links zu klicken, QR-Codes zu scannen oder ihre PIN- und Verifizierungscodes preiszugeben.
Microsoft und Googles Threat Intelligence Group haben die Angriffskampagnen mit mehreren russisch ausgerichteten Bedrohungsgruppen verbunden: Star Blizzard, UNC5792 (auch als UAC-0195 bekannt) und UNC4221 (UAC-0185). FBI-Direktor Kash Patel betonte, dass die erfolgreichen Kompromittierungen es den Akteuren ermöglichen, auf Nachrichtenverläufe zuzugreifen, sich als Opfer auszugeben und weitere Ziele durch Missbrauch von Vertrauensbeziehungen anzugreifen.
Die Funktionsweise der Phishing-Angriffe unterscheidet sich je nach Angriffsmethode: Während einige Varianten auf das Klicken von Links oder das Scannen von QR-Codes abzielen, nutzen andere direkt die Preisgabe von Verifizierungscodes. In beiden Fällen erhalten die Angreifer Zugriff auf das Opfer-Konto.
Signal hat in einer eigenen Stellungnahme klargemacht, dass der Messenger-Dienst niemals von sich aus Benutzer kontaktiert, um Verifizierungscodes oder PINs anzufordern. Der SMS-Verifizierungscode werde nur bei der erstmaligen Anmeldung benötigt. “Wenn jemand einen Signal-bezogenen Code anfordert, ist dies ein Betrug”, heißt es in der Warnung.
Die Cybersicherheitsbehörden empfehlen, Verifizierungscodes und PINs niemals mit Dritten zu teilen, Links vor dem Anklicken zu überprüfen und bei unerwarteten Nachrichten von unbekannten Kontakten Vorsicht walten zu lassen. Nutzer sollten zudem regelmäßig verbundene Geräte überprüfen und verdächtige Einträge entfernen.
Dass diese Kampagnen ausgerechnet auf Regierungsbeamte, Militärs und Journalisten abzielen, unterstreicht die Gefahr für hochrangige Ziele weltweit. Für deutsche Nutzer, insbesondere in Politik und Medien, bedeutet dies erhöhte Vorsicht im Umgang mit Messenger-Diensten.