Nach der Warnung der niederländischen Geheimdienste MIVD und AIVD vor einer großangelegten weltweiten Spionagekampagne durch russisch-staatliche Akteure am Montag dieser Woche, die sich auf die Messenger Signal und WhatsApp stützt, hat Signal dazu nun Stellung bezogen. Auf sozialen Netzwerken erklärt der Dienst seine Sicht der Dinge und gibt Hinweise, wie Nutzer und Nutzerinnen sich schützen können.
Etwa auf Mastodon schreiben die Signal-Entwickler, dass sie von den Berichten über gezielte Phishing-Angriffe gegen Signal-User wie Regierungsbeamte und Journalisten Kenntnis haben, wodurch die Konten der Opfer übernommen wurden. Das nehmen sie sehr ernst, betonen sie. „Um es klar zu sagen: Signals Verschlüsselung und Infrastruktur wurden nicht kompromittiert und bleiben robust“, führen sie zudem aus. Die Angriffe seien durch raffinierte Phishing-Kampagnen erfolgt, die Nutzer dazu bringen sollen, Informationen wie SMS-Codes oder Signal-PIN zu teilen. Damit erlangen die Spione Zugang zu deren Konten. Sie können heimlich eigene Geräte verknüpfen und so sämtliche Nachrichten in Echtzeit mitlesen, ohne dass Opfer diesen Fernzugriff sofort bemerken würden.
Angriffe basieren auf Social Engineering
Diese Angriffe basieren wie alle Phishing-Attacken auf Social Engineering, ordnet Signal ein. „Die Angreifer imitieren vertraute Kontakte oder Dienste, wie den nicht existierenden ‚Signal Support Bot’, um Opfer dazu zu bringen, ihre Login-Daten oder andere Informationen preiszugeben“, erklären die Entwickler. Um das zu verhindern, sollen sich Nutzer daran erinnern, dass der Signal-SMS-Verifikationscode ausschließlich beim ersten Login in der Signal-App nötig ist.
Der Signal-Support nehme auch niemals Kontakt innerhalb der Signal-App, über SMS, Telefonanruf oder soziale Netzwerke mit Nutzern auf, um nach dem Verifikationscode oder der PIN zu fragen. Wer nach solchen Daten fragt, sei ein Betrüger, versichert Signal. Zwar habe Signal robuste technische Sicherheitsvorkehrungen getroffen, aber die Aufmerksamkeit der Nutzer bleibt die beste Verteidigung gegen Phishing. Die Entwickler wollen daran arbeiten, diese Risiken durch das Design der Bedienoberfläche und Hinweise zu reduzieren. Bis dahin sollen Nutzerinnen und Nutzer von Signal wachsam bleiben und niemals ihren SMS-Verifikationscode oder ihre Signal-PIN mit anderen teilen.
Die Entwickler haben auf der Signal-FAQ zu Phishing außerdem hilfreiche Hinweise zur Erkennung von Phishing und ähnlichen Betrugsversuchen gesammelt.
(dmk)
English (US) ·