Es ist eine dieser Nachrichten, die man eigentlich ignorieren möchte, die aber im ersten Moment verdammt echt aussehen. Signal, das digitale Refugium für alle, denen WhatsApp zu neugierig geworden ist, steht im Fadenkreuz einer ziemlich perfiden Phishing-Kampagne. Dass sich jetzt sogar der Verfassungsschutz und das BSI mit einer gemeinsamen Warnung einschalten, zeigt, dass es hier nicht um den klassischen "Prinz aus Nigeria" geht, sondern um gezieltes Social Engineering.
Die Masche ist psychologisch geschickt eingefädelt. Du erhältst eine Nachricht von einem vermeintlichen Signal-Support-Bot. Der Ton ist dringlich: Dein Konto sei angeblich kompromittiert worden, oder es stünde eine Neuregistrierung deiner gekoppelten Geräte an. Um das Problem zu lösen, sollst du deine PIN eingeben oder einem Link folgen. Besonders ironisch wird es da, wo die Betrüger zur Vorsicht mahnen. Sie schreiben dir explizit, dass du deine PIN niemals an Dritte weitergeben darfst - außer natürlich in diesem einen Formular, das sie dir gerade unter die Nase halten. Das schafft eine gefährliche Illusion von Seriosität.
Wer hier klickt, liefert nicht nur seine PIN ab, sondern verliert im schlimmsten Fall den Zugriff auf seinen Account oder ermöglicht den Angreifern, eigene Geräte mit deinem Profil zu koppeln. Dass die Behörden so offensiv um Kontaktaufnahme bitten, falls man bereits betroffen ist, lässt tief blicken. Normalerweise halten sich Geheimdienste bei laufenden Kampagnen eher bedeckt. Hier scheint der Druck jedoch groß genug zu sein, um die Betroffenen direkt als Zeugen für die Ermittlung der Infrastruktur hinter dem Angriff zu gewinnen.
Die Zielgruppe verrät zudem einiges über die Urheber. Es trifft momentan vor allem Menschen im politischen Umfeld, beim Militär oder in der Presse. Das riecht stark nach staatlich gelenkter Spionage, auch wenn das BSI hier noch keine Namen nennt. Am Ende zeigt uns dieser Vorfall eine alte Wahrheit der IT-Sicherheit: Du kannst die Verschlüsselung noch so mathematisch wasserdicht bauen - wenn der Nutzer am Ende der Leitung davon überzeugt wird, den Hausschlüssel freiwillig unter die Matte zu legen, hilft auch der beste Algorithmus nichts.
Für dich bedeutet das im Alltag: Signal wird dich niemals innerhalb eines Chats nach deiner PIN fragen. Diese PIN ist ein rein lokales Sicherheitsmerkmal für die Wiederherstellung deines Profils. Wenn eine Nachricht Panik schürt oder sofortiges Handeln fordert, ist das in 99 Prozent der Fälle ein Grund, das Smartphone erst einmal ganz entspannt beiseitezulegen.
Kommentare (0)