Signal hat neue Sicherheitswarnungen und Bestätigungshinweise in der App eingeführt, die darauf ausgelegt sind, Nutzer vor Phishing- und Social-Engineering-Angriffen auf die verschlüsselte Messaging-Plattform zu schützen.
Die Änderungen erfolgen nach einer Welle von Angriffen, die sich gegen Politiker, Journalisten, Diplomaten und Militärangehörige in Europa, insbesondere in Deutschland, richteten, wo Bedrohungsakteure sich als Signal-Support-Mitarbeiter ausgaben, um Konten zu kapern.
Die neuen Schutzmaßnahmen von Signal sorgen für zusätzliche Reibung, wenn Nutzer Nachrichten von unbekannten Kontakten erhalten oder versuchen, mit verdächtigen Profilen zu interagieren. Die App zeigt nun stärkere Warnmeldungen und zusätzliche Bestätigungen an, die den Nutzern mehr Zeit geben, zu prüfen, ob eine Anfrage legitim ist, bevor sie antworten.
Signal-Präsidentin Meredith Whittaker sagte, die Angriffe betrafen keine Schwachstellen in der Verschlüsselung oder dem Quellcode von Signal. Stattdessen setzten Angreifer auf Social-Engineering-Taktiken, um Nutzer dazu zu bringen, Verifizierungscodes, PINs zu teilen oder ihre Konten mit angreifergesteuerten Geräten zu verknüpfen.
Eine häufig berichtete Technik bestand darin, dass Angreifer sich als “Signal Support”-Konten ausgaben und Nachrichten schickten, in denen sie behaupteten, es gebe ein Sicherheitsproblem für sofortiges Handeln. Die Opfer wurden anschließend angewiesen, QR-Codes zu scannen oder Authentifizierungsdaten anzugeben, die es den Angreifern ermöglichten, aus der Ferne auf ihre Konten zuzugreifen.
Als Reaktion darauf macht Signal es nun schwieriger, unbekannten Kontakten versehentlich zu vertrauen. Das Unternehmen erklärte, dass die Annahme neuer Nachrichtenanfragen von unbekannten Nummern nicht mehr mit einem einzigen Tipp erfolgt, sondern stattdessen klarere Warnhinweise auslöst.
Die App erweiterte außerdem die Bildungskommunikation und erinnerte die Nutzer daran, dass Signal-Mitarbeiter sie niemals direkt über Chats kontaktieren werden, um PINs, Verifizierungscodes, Verschlüsselungsschlüssel oder Kontodaten anzufordern.
Deutsche Geheimdienste warnten zuvor, dass die Phishing-Kampagne wahrscheinlich mit staatlich geförderten Bedrohungsakteuren in Verbindung stehe. Ermittler sagten, Angreifer hätten prominente Personen mit legitimen Signal-Funktionen ins Visier genommen, anstatt Malware oder Software-Exploits.
Die Behörden warnten, dass Angreifer, sobald sie Zugang zu Konten erhalten haben, private Gespräche lesen, Gruppenchats überwachen, Kontaktlisten einsehen und sich als Opfer weiterer Angriffe ausgeben können.
Signal-Nutzer werden ermutigt, die Registrierungssperre zu aktivieren, verknüpfte Geräte regelmäßig zu überprüfen und unerwartete Support-Nachrichten oder QR-Codes zu vermeiden. Sicherheitsexperten empfehlen außerdem, Anfragen über separate Kommunikationskanäle zu verifizieren, bevor Authentifizierungsinformationen geteilt werden.