In drei Sätzen: Russische Nachrichtendienste führen seit Monaten eine weltweite Phishing-Kampagne gegen Nutzer kommerzieller Messenger-Apps durch, vor allem gegen Signal. Am 20. März 2026 veröffentlichten FBI und CISA eine gemeinsame Warnung, wonach bereits Tausende individuelle Accounts kompromittiert wurden. Betroffen sind vor allem aktuelle und ehemalige US-Regierungsmitarbeiter, Militärangehörige, Politiker und Journalisten, die als besonders wertvolle Ziele gelten.
Der Auslöser: Der aktuelle Anlass ist die Veröffentlichung des Public Service Announcement mit der Nummer I-032026-PSA am 20. März 2026. FBI und CISA warnen explizit vor anhaltenden Angriffen russischer Cyberakteure, die sich als Support-Accounts der Apps ausgeben und Nutzer zur Preisgabe von Verifizierungscodes oder PINs verleiten. Die Kampagne läuft bereits länger, erhält nun aber durch die offizielle US-Warnung neue Dringlichkeit.
Wer sagt was:
- „Cyberakteure versenden Phishing-Nachrichten, die sich als automatisierte Support-Accounts der kommerziellen Messenger-Apps ausgeben“, erklären FBI und CISA. Die Angreifer geben sich demnach als offizieller Support aus und drängen die Opfer dazu, Links anzuklicken oder Verifizierungscodes, PINs oder Zwei-Faktor-Codes preiszugeben.
- „Legitime Support-Dienste kommerzieller Messenger-Apps fordern niemals Verifizierungscodes an, insbesondere nicht über Direktnachrichten innerhalb der Anwendung selbst“, unterstreichen die US-Behörden ausdrücklich.
- Signal selbst hatte bereits in früheren Warnungen vor genau solchen Phishing-Versuchen gewarnt und klargestellt: „Die App selbst ist nicht kompromittiert worden – die Angriffe nutzen ausschließlich Social Engineering und keine Schwachstellen in der Verschlüsselung oder im Code der Anwendung.“
Das Sittenbild: Ende-zu-Ende-Verschlüsselung schützt die Inhalte, doch Phishing umgeht diesen Schutz komplett, indem der Account selbst übernommen wird. Nutzer können danach Nachrichten lesen, Kontakte einsehen und weitere Phishing-Attacken starten. Der Vorteil für die Angreifer liegt in der Einfachheit, der Nachteil für die Opfer in der totalen Enttarnung sensibler Kommunikation.
Das große Ganze: Die Kampagne begann bereits im Februar und März 2026 mit Warnungen aus den Niederlanden und Deutschland, wo russische Akteure ähnlich gegen WhatsApp und Signal vorgingen. Niederländische Dienste (AIVD und MIVD) sprachen von einer „large-scale global cyber campaign“ gegen Personen des öffentlichen Lebens, Militärs und Journalisten. Die US-Warnung reiht sich ein und bestätigt den globalen Charakter mit Tausenden kompromittierten Accounts, vor allem bei hochwertigen Zielen.
Zwischen den Zeilen:
- Die Angreifer nutzen keine Schwachstellen in der App, sondern ausschließlich Social Engineering und Phishing.
- Nach erfolgreichem Zugriff können sie Geräte verlinken oder den Account vollständig übernehmen.
- Ziel ist nicht die Verschlüsselung zu knacken, sondern den Nutzer selbst zur Kooperation zu bringen.
- Nutzer sollten Gruppenchats regelmäßig auf Duplikate oder fremde Accounts prüfen.
Follow the money: Die Operation kostet die russischen Dienste fast nichts, da sie auf einfachem Phishing basiert und keine teuren Exploits oder Zero-Days benötigt. Im Gegenzug liefert sie hochpreisige nachrichtendienstliche Erträge durch den Zugriff auf sensible Gespräche von Politikern, Militärs und Journalisten, ohne dass ein Budget für teure Hacking-Tools anfällt.
Warum das wichtig ist: In Zeiten, in denen sich alle auf verschlüsselte Messenger verlassen, reicht ein simpler Klick, um Diplomatie, Militärgeheimnisse und Investigativrecherchen offen zu legen.
Quellen:
