Darum gehts
- Hacker attackieren gerade Whatsapp- und Signal-Konten weltweit
- Angreifer nutzen Einladungen und Fake-Sicherheitswarnungen zur Kontoübernahme
- Schweizer Bundesverwaltung setzt auf Threema Work für sensible Kommunikation
Per Whatsapp kommt eine Einladung: «Tritt meiner Gruppe bei». Der Absender ist einem bekannt, oder er ist zumindest unverdächtig. Man tippt auf den Link oder QR-Code – dann ist das Konto kompromittiert.
Solche und ähnliche Angriffe laufen seit Monaten. Jetzt haben die niederländischen Geheimdienste MIVD und AIVD öffentlich gewarnt: «Russische Staatsakteure führen eine gross angelegte, globale Kampagne zur Übernahme von Whatsapp- und Signal-Konten durch.» Mehrere Regierungsangestellte wurden bereits Opfer. Signal selbst bestätigte die Angriffe und schreibt, die App und die Verschlüsselung seien nicht betroffen. Angegriffen würden Menschen, nicht die Technik.
Kein Hack – Trickserei
Whatsapp und Signal wurden technisch nicht geknackt. Die Angreifer nutzen stattdessen Funktionen der Apps. Zwei Methoden stehen im Vordergrund. Bei Whatsapp läuft die Attacke über «Verknüpfte Geräte». Beide Messenger erlauben es, ein Konto auf mehreren Geräten gleichzeitig zu nutzen: etwa auf dem Notebook zusätzlich zum Telefon. Dafür scannt man einfach einen QR-Code, fertig.
Genau diesen Mechanismus missbrauchen die Angreifer: Sie schicken dem Opfer eine Gruppeneinladung als Link oder QR-Code. Wer darauf tippt und nicht genau liest, was dann passiert, tritt nicht einer Gruppe bei, sondern gibt dem Angreifer vollen Zugriff auf sein Konto. Dieser kann still mitlesen: alle Nachrichten, den gesamten Chatverlauf. Das Opfer behält vollen Zugriff auf sein Konto und bemerkt den Lauschangriff in der Regel nicht.
Bei Signal kommt eine weitere Methode dazu. Die Angreifer geben sich als offiziellen «Signal Security Support Chatbot» aus. Dieser warnt vor angeblichen Sicherheitsproblemen auf dem Gerät und fordert auf, einen per SMS zugeschickten Verifizierungscode weiterzuschicken. Wer das tut, übergibt sein Konto vollständig. Die Angreifer registrieren es auf ihre eigene Nummer um und lesen fortan alle eingehenden Nachrichten mit.
Journalisten im Visier
Die niederländischen Dienste beschreiben die Kampagne als gezielt: Im Fadenkreuz stehen Personen, die für den russischen Staat von Interesse sind. Dazu zählen etwa Behördenmitarbeitende, Militärpersonal, Diplomatinnen und Journalisten. Schon Ende Januar berichtete die deutsche Plattform netzpolitik.org, dass Dutzende Medienschaffende angegriffen wurden, darunter die Redaktionen von «Zeit», «Correctiv» und netzpolitik.org. Die Angriffe liefen teilweise schon seit November 2024.
Der Grund für das Interesse liegt auf der Hand: Whatsapp hat eine enorme Reichweite und Signal gilt als besonders sicher. Genau deshalb werden sie zur Angriffsfläche.
So schützt du dich
Den Verifizierungscode sollte man nie weiterschicken. QR-Codes sollte man nur dann scannen, wenn man bewusst ein neues Gerät verknüpft. Ungebetene Gruppeneinladungen ignorieren oder den Absender über einen anderen Kanal kontaktieren. Zudem prüfen, welche Geräte mit dem Konto verknüpft sind:
- in Signal unter Einstellungen > Gekoppelte Geräte.
- Bei Whatsapp unter Einstellungen > Verknüpfte Geräte.
Alle unbekannten Geräte sollte man sofort entfernen. In Signal kann man zudem die Registrierungssperre aktivieren. Whatsapp bietet eine Verifizierung in zwei Schritten.
Schweiz setzt auf Threema
Gemäss dem Nachrichtendienst des Bundes (NDB) ist die Phishing-Welle «nicht wirklich neu». «Darüber hinaus zeigt die Kampagne, dass die Akteure sich verstärkt auf mobile Geräte konzentrieren und sich an die am häufigsten verwendeten Anwendungen anpassen», sagt Max Klaus, stellvertretender Medien- und Informationsverantwortlicher beim Bundesamt für Cybersicherheit, Bacs.
Die Schweizer Bundesverwaltung setzt Threema Work als Standarddienst ein. «Diese App muss zwingend für die Kommunikation von sensiblen Inhalten verwendet werden», sagt Klaus. Ein Verbot für Whatsapp gibt es nicht. Aber der Bund empfehle dennoch, bei der Nutzung von Social-Media-Apps auf Diensthandys der Bundesverwaltung Zurückhaltung zu üben und keinen dienstlichen Inhalt darüber zu kommunizieren.
Generell rät Klaus zu Misstrauen gegenüber jeder Kontaktaufnahme seitens eines Messaging-Dienstes: «In der Regel wird eine solche Kontaktaufnahme nicht erfolgen und könnte deshalb einen potenziellen Angriff darstellen.» Signal hat es so formuliert: Der Support kontaktierte Nutzerinnen und Nutzer nie per In-App-Nachricht und frage nie nach Verifizierungscodes oder PINs.