WhatsApp ist der mit Abstand beliebteste Messenger auf dem Smartphone weltweit, hat aber immer wieder mit Sicherheitsbedenken zu kämpfen. Doch auch für die als sicher geltenden Alternative Signal gibt es derzeit Warnungen vor Phishing durch russische Hacker, wie der niederländische Geheimdienst berichtet. Auch das Unternehmen hinter dem Messenger meldet sich zu Wort und gibt Tipps zum Schutz vor Angriffen.
Phishing bei Signal: Was ist passiert?
Der niederländische Geheimdienst AIVD warnt aktuell auf seiner Webseite gemeinsam mit dem Militärnachrichtendienst MIVD vor staatlichen russischen Hackern. Diese Hacker hätten sich Zugriff zu zahlreichen Signal- und WhatsApp-Konten verschafft. Attackiert wurden demnach vor allem Beamte, Würdenträger und Militärangehörige. Möglicherweise seien aber auch Journalisten und andere Personen betroffen.
Die russischen Hacker hätten sich häufig als Support-Chatbots ausgegeben, um Verifizierungs- und PIN-Codes abzugreifen und sich so Zugang zu den Nutzerkonten zu verschaffen. Auch würden teils weitere Geräte mit den Konten verknüpft, um Nachrichten mitzulesen. Vermutlich sei es so gelungen, Zugriff auf sensible Infos zu erhalten.
Wie kann ich mich schützen?
Laut Geheimdienst wurden keine technischen Schwachstellen ausgenutzt. Stattdessen wurden Sicherheitsfunktionen verwendet, die durchaus eine Daseinsberechtigung haben – und die User so überlistet, die notwendigen Informationen herauszugeben. Auch der Messaging-Dienst bestätigt unter anderem auf der Social-Media-Plattform Mastodon, dass es sich um eine „ausgeklügelte Phishing-Kampagne“ handle, aber betont: „Die Verschlüsselung und Infrastruktur von Signal wurden nicht kompromittiert und sind weiterhin robust.“
Signal warnt, dass sogenanntes Social Engineering zum Einsatz kommt, um die Menschen vor dem Gerät zu beeinflussen. Hacker geben sich als vertrauenswürdige Anlaufstelle aus, um sich Infos für einen Login zu verschaffen – aber einen „Signal Support Bot“ gibt es zum Beispiel gar nicht.
Der Messenger warnt Nutzer deshalb, niemals einen zur erstmaligen Anmeldung erforderlichen SMS-Code oder die eigene PIN herauszugeben. Der echte Support werde sich niemals per Social Media, SMS oder Nachricht in der App melden und danach fragen. „Wenn jemand nach einem Code im Zusammenhang mit Signal fragt, handelt es sich um einen Betrugsversuch“, wird eindeutig erklärt. „Obwohl wir robuste technische Sicherheitsvorkehrungen treffen, ist die Wachsamkeit der Benutzer letztendlich der beste Schutz vor Phishing.“ Man arbeite jedoch daran, Risiken etwa durch das Design der Benutzeroberfläche weiter zu vermindern.
(wue/jmk/spot)
Bild: Laut niederländischer Geheimdienste ist es zuletzt zu zahlreichen Phishing-Attacken auch bei Signal gekommen. / Quelle: iStock via Getty/chingyunsong