Das Bundesamt für Verfassungsschutz und das Bundesamt für Informationssicherheit warnten, dass staatlich verbundene Akteure hochkarätige Konten auf Signal, dem verschlüsselten Messaging-Dienst, ins Visier nehmen. Die Ergebnisse stammen aus einem gemeinsamen Bericht der beiden deutschen Sicherheitsbehörden über Bedrohungen gegen politische Persönlichkeiten, Journalisten, Aktivisten und andere öffentlich zugängliche Personen.
Die Behörden erklärten, dass Angreifer versuchen, Zugang zu Konten zu erhalten, indem sie Authentifizierungsprozesse manipulieren, anstatt die Verschlüsselung von Signal zu knacken. Zu den berichteten Methoden gehören Phishing-Nachrichten, Social Engineering und Versuche, Nutzer dazu zu bringen, Registrierungs- oder Verifizierungscodes mit ihren Konten zu teilen.
Laut den deutschen Behörden beinhalten einige Angriffe gefälschte Nachrichten oder Anrufe, die offenbar von vertrauenswürdigen Kontakten oder Dienstleistern stammen. Diese Nachrichten bitten die Zielpersonen, zeitkritische Codes anzugeben oder Anmeldeanweisungen zu befolgen. Wenn ein Code geteilt wird, können Angreifer die Telefonnummer des Opfers auf einem anderen Gerät registrieren und die Kontrolle über das Konto übernehmen.
Der Bericht stellt fest, dass sich diese Kampagnen auf Personen konzentrieren, deren Kommunikation politischen oder informativen Wert haben könnte. Zielgruppen sind Personen, die in Regierung, Medien, Zivilgesellschaft und internationalen Angelegenheiten tätig sind. Die Behörden nannten keine konkreten Opfer öffentlich.
Signal verwendet Ende-zu-Ende-Verschlüsselung, sodass Nachrichten nur vom Absender und Empfänger gelesen werden können. Die deutschen Behörden erklärten, dass die beobachteten Angriffe diese Verschlüsselung nicht brechen, sondern stattdessen Funktionen zum Vertrauens- und Kontowiederherstellungssystem der Nutzer ausnutzen. In diesem Modell ist der schwächste Punkt der Umgang mit Authentifizierungsdaten.
Das Federal Office for Information Security riet den Nutzern, Verifizierungscodes vertraulich zu behandeln und sie niemandem zu zeigen. Es wurde außerdem empfohlen, zusätzliche Gerätesicherheit wie Bildschirmsperren zu aktivieren und die Software aktuell zu halten. Das Bundesamt für den Schutz der Verfassung erklärte, dass das Bewusstsein für Social-Engineering-Taktiken für Menschen in sensiblen Rollen wichtig ist.
Die Behörden beschrieben die Aktivität als Teil breiterer Cyber- und Geheimdienstbemühungen ausländischer Staatsakteure. Sie sagten, solche Operationen kombinieren oft technische und psychologische Methoden, um Zugang zu Kommunikationsmitteln zu erhalten.
Im Zusammenhang mit diesen Vorfällen wurden keine Schwachstellen in der Kernverschlüsselung von Signal gemeldet. Die Warnung konzentriert sich auf eine Kompromittierung auf Kontoebene durch Täuschung und nicht auf Fehler im Messaging-Protokoll.