FBI und CISA erklärten am Freitag, dass Akteure mit Verbindungen zu russischen Nachrichtendiensten gezielt kommerzielle Messenger-Anwendungen (CMAs) wie WhatsApp und Signal angreifen, um Konten von Personen mit hohem nachrichtendienstlichem Wert zu übernehmen. Zu den Zielen zählen nach Angaben der Behörden aktuelle und ehemalige US-Regierungsmitarbeiter, Militärangehörige, politische Persönlichkeiten und Journalisten.

“Nach dem Zugriff können die Akteure Nachrichten und Kontaktlisten einsehen, im Namen des Opfers Nachrichten versenden und unter einer vertrauenswürdigen Identität weiteres Phishing betreiben”, schrieb FBI-Direktor Kash Patel auf X. Weltweit habe die Kampagne bereits zum unbefugten Zugriff auf Tausende einzelner Konten geführt.

Die Behörden betonen, dass die Angriffe keine Sicherheitslücke ausnutzen und auch nicht die Verschlüsselung der Plattformen aushebeln. Stattdessen zielen sie darauf ab, sich direkt Zugang zu den betroffenen Konten zu verschaffen – über Social Engineering.

Eine konkrete Tätergruppe nannten CISA und FBI nicht. Frühere Berichte von Microsoft und der Google Threat Intelligence Group brachten solche Kampagnen jedoch mit mehreren russlandnahen Akteuren in Verbindung, die als Star Blizzard, UNC5792 (auch UAC-0195) und UNC4221 (auch UAC-0185) geführt werden.

Eine ähnliche Warnung kam vom Cyber Crisis Coordination Center (C4) der französischen Cybersicherheitsbehörde ANSSI. Es berichtete von einer Zunahme an Kampagnen gegen Messenger-Konten von Regierungsvertretern, Journalisten und Wirtschaftsführern. Erfolgreiche Angriffe könnten es den Tätern erlauben, auf Gesprächsverläufe zuzugreifen oder die Konten zu übernehmen und sich als ihre Opfer auszugeben, so C4.

Wie zuvor bereits Cybersicherheitsbehörden aus Deutschland und den Niederlanden warnten, geben sich die Angreifer als “Signal Support” aus und fordern ihre Ziele auf, auf einen Link zu klicken, einen QR-Code zu scannen oder die PIN beziehungsweise den Bestätigungscode preiszugeben. In allen Fällen verschafft das Vorgehen den Tätern Zugang zum Messenger-Konto des Opfers.

Signal selbst wies in einem Beitrag auf X darauf hin, dass diese Angriffe – wie jedes Phishing – auf Social Engineering beruhen: Angreifer geben sich als vertrauenswürdige Kontakte oder Dienste aus, etwa als das nicht existierende “Signal Support Bot”, um Opfer zur Herausgabe ihrer Zugangsdaten zu bewegen. Der SMS-Bestätigungscode werde nur bei der erstmaligen Registrierung benötigt, und der Signal-Support nehme niemals von sich aus Kontakt auf, um nach Code oder PIN zu fragen. “Wenn jemand nach einem Signal-bezogenen Code fragt, ist es Betrug.”

Nutzern wird geraten, ihren SMS-Code oder die Bestätigungs-PIN niemals weiterzugeben, bei unerwarteten Nachrichten unbekannter Kontakte vorsichtig zu sein, Links vor dem Anklicken zu prüfen und verknüpfte Geräte regelmäßig zu überprüfen sowie verdächtige Einträge zu entfernen.