Verfassungsschutz warnt: Spione kapern Signal-Konten mit zwei einfachen Tricks
-
-
Lokalisiert von
Paul Pauli
Cyberspione nehmen die Signal-Konten von Journalisten, Politikern, Diplomaten, Militärangehörigen und hochrangigen Beamten ins Visier, warnen deutsche Behörden. Hacker geben sich bei ausgeklügelten Phishing-Kampagnen als offizielle Support-Bots aus, um Nutzer zur Preisgabe ihrer Passwörter zu bewegen.
Angreifer nutzen Social Engineering statt Malware oder technische Exploits, um Signal- und WhatsApp-Konten zu stehlen. Sie setzen dabei auf zwei Strategien, so eine gemeinsame Warnmitteilung des Bundesamts für Verfassungsschutz (BfV) und des Bundesamts für Sicherheit in der Informationstechnik (BSI).
In der ersten Angriffsvariante übernehmen die Angreifer Nutzerkonten vollständig, indem sie die Opfer dazu bringen, ihre Sicherheits-PIN oder den per SMS gesendeten Verifizierungscode preiszugeben. Hacker missbrauchen diese legitimen Signal-Sicherheitsfunktionen, um das Konto des Opfers auf einem vom Angreifer kontrollierten Gerät zu registrieren.
„Die Angreifer geben sich als offizielles Support-Team bzw. Support-Chatbot des Messengerdienstes aus („Signal Support“ oder „Signal Security ChatBot“). Sie treten direkt über eine Chatnachricht mit ihrer Zielperson in Kontakt. Der Gesprächseinstieg erfolgt in der Regel über eine angebliche Sicherheitswarnung", heißt es in der Sicherheitsempfehlung.
Angreifer erzeugen Dringlichkeit, indem sie behaupten, der Verlust privater Daten stehe unmittelbar bevor, wenn nicht sofort gehandelt werde.
Diese Methode gewährt keinen Zugriff auf Nachrichten oder Inhalte, die das Opfer vor dem Angriff erhalten hat. Der Angreifer erhält jedoch Zugang zu Kontakten und neuen Nachrichten in Einzel- und Gruppenchats und kann Nachrichten unter der Identität der Zielperson versenden.
Die zweite Angriffsvariante basiert auf der Verknüpfung des Angreifer-Geräts per QR-Code. Signal und WhatsApp ermöglichen die Verknüpfung von Geräten mit einem bestehenden Konto durch Scannen und Bestätigen eines QR-Codes auf dem Hauptgerät.
„Die Angreifer kontaktieren ihre Zielperson unter einem glaubwürdigen Vorwand und bringen sie dazu, einen QR-Code zu scannen. Dieser Code koppelt auch tatsächlich ein neues Gerät mit dem Konto der Zielperson. Allerdings wird dieses Gerät von den Angreifern kontrolliert", so die Behörden.
Während das Opfer Zugang zum Konto behält, können Angreifer kontinuierlich Kontakte und Nachrichten mitlesen und auch auf Nachrichten der letzten 45 Tage zugreifen. Diese Methode ermöglicht ebenfalls das Versenden von Textnachrichten.
Die Opfer bemerken den Fremdzugriff zu ihren Konten und die Überwachung der Kommunikation in der Regel nicht sofort.
„Der aktuelle Schwerpunkt der Angriffe liegt auf dem Messengerdienst „Signal“, wobei vergleichbare Vorgehensweisen aufgrund ähnlicher Funktionsprinzipien auch bei „WhatsApp“ denkbar sind", heißt es in der Warnmitteilung.
„Ein erfolgreicher Zugriff auf Messenger-Konten ermöglicht nicht nur die Einsicht in vertrauliche Einzelkommunikation, sondern potenziell auch die Kompromittierung ganzer Netzwerke über Gruppen-Chats."
Der Signal-Kundendienst kontaktiert Nutzer niemals direkt per Signal-Nachricht. Die Behörden empfehlen, solche Nachrichten zu ignorieren, Konten zu blockieren oder zu melden, die sich als Signal-Support oder ähnliche Accounts ausgeben und Signal-PINs niemals als Textnachrichten einzugeben.
Nutzern wird außerdem geraten, die Registrierungssperre zu aktivieren, die einen 7-tägigen Inaktivitätstimer auslöst, wenn die Nummer des Nutzers auf einem anderen Gerät registriert wird. QR-Codes sollten nur mit der Signal-App gescannt werden, wenn man wirklich beabsichtigt, ein neues Gerät mit Signal zu verbinden.
Entdecke mehr exklusive Cybernews-Reportagen bei YouTube.