Russische Hacker zielen auf Signal & WhatsApp: Leitfaden zu Social-Engineering-Angriffen

Russische Staatshacker haben erfolgreich Signal- und WhatsApp-Konten niederländischer Regierungsmitarbeiter durch ausgeklügelte Social-Engineering-Angriffe kompromittiert, die menschliche Psychologie ausnutzen, anstatt technische Schwachstellen, so die Geheimdienste AIVD und MIVD. Die Cyber-Spionagekampagne 2025 stellt eine bedeutende Verschiebung in der Cyberkriegsführung dar, die das menschliche Element in Sicherheitssystemen ins Visier nimmt, anstatt Verschlüsselungsprotokolle zu brechen.

Was sind Smishing- und Quishing-Angriffe?

Die russischen Hacker setzten zwei Haupttaktiken ein: Smishing (SMS-Phishing) und Quishing (QR-Code-Phishing). Bei Smishing-Angriffen sendeten Hacker betrügerische Textnachrichten, die als legitime Support-Chatbots von Signal oder WhatsApp auftraten und Benutzer aufforderten, Sicherheitscodes zu bestätigen. Wenn Opfer zustimmten, gaben sie Angreifern unwissentlich die volle Kontrolle über ihre Konten. Quishing-Angriffe beinhalteten bösartige QR-Codes, die bei Scannen Hackern ermöglichten, zusätzliche Geräte mit den Konten der Opfer zu verknüpfen, um alle Nachrichten aus der Ferne zu lesen.

Cybersicherheitsexperte Jort Kollerie, strategischer Berater bei Orange Cyberdefense, erklärte die psychologische Manipulation: 'Die Sicherheit ist technisch ausgezeichnet, aber hier geht es um das menschliche Element. Das Ziel wird manipuliert. Die menschliche Psyche wird ausgespielt.' Kollerie verglich die Taktik mit jemandem in einer Lieferuniform, der Zugang zu sicheren Gebäuden erhält – Menschen vertrauen natürlicherweise vertrauten Erscheinungen und dringenden Anfragen.

Wie die Angriffskampagne funktioniert

Signal-Konto-Kompromittierung

Für Signal-Konten gaben sich Hacker als offizielles Support-Team der App aus und sandten Nachrichten, die von 'Signal Support' zu stammen schienen. Diese Nachrichten behaupteten, es gäbe Sicherheitsprobleme mit dem Konto des Benutzers und forderten SMS-Bestätigungscodes und PIN-Nummern an. Einmal erhalten, konnten Angreifer neue Geräte für das Konto des Opfers registrieren und effektiv die Kontrolle übernehmen, während der legitime Benutzer auf seinem ursprünglichen Gerät angemeldet blieb.

WhatsApp-Konto-Übernahme

WhatsApp-Angriffe nutzten die 'Verbundene Geräte'-Funktion der Plattform. Hacker sandten bösartige QR-Codes oder Links, die bei Scannen es ihnen ermöglichten, ihre eigenen Geräte mit den Konten der Opfer zu verbinden. Im Gegensatz zu Signal synchronisiert WhatsApp den Chatverlauf über verbundene Geräte, was bedeutet, dass Angreifer potenziell auf vergangene Gespräche sowie Echtzeitnachrichten zugreifen konnten.

Psychologische Manipulationstechniken

Die Hacker setzten ausgeklügelte psychologische Taktiken ein, um die natürliche Vorsicht der Benutzer zu umgehen:

• Angst und Dringlichkeit: Nachrichten erzeugten künstlichen Zeitdruck und suggerierten, dass sofortiges Handeln erforderlich sei, um Kontosperrung oder Sicherheitsverletzungen zu verhindern
• Autoritätsimitation: Hacker präsentierten sich als offizielle Support-Vertreter vertrauenswürdiger Organisationen
• Vertrautes Interface: Nachrichten verwendeten offizielles Branding, Logos und Sprachmuster identisch mit legitimen Kommunikationen
• Soziale Beweisführung: Einige Angriffe verwiesen auf andere 'betroffene Benutzer', um ein Gefühl weit verbreiteter Probleme zu schaffen, die sofortige Aufmerksamkeit erfordern

Kollerie betonte, dass diese Taktiken funktionieren, weil sie grundlegende menschliche Verhaltensweisen ausnutzen: 'Es hat nichts mit der technischen Sicherheit der Apps zu tun. Die Sicherheit ist ausgezeichnet, aber es geht um den Menschen. Sie werden hier manipuliert.'

Auswirkungen auf die nationale Sicherheit

Die niederländischen Geheimdienste bestätigten, dass Regierungsmitarbeiter, Militärpersonal und potenziell Journalisten zu den Zielen gehörten. Während die genauen kompromittierten Informationen klassifiziert bleiben, ist der potenzielle Schaden erheblich. Die niederländische Cybersicherheitsinfrastruktur sieht sich laufenden Bedrohungen durch staatlich geförderte Akteure ausgesetzt, die nach sensiblen Informationen über Regierungsoperationen, Militärstrategien und diplomatische Kommunikation suchen.

Der AIVD und MIVD gaben eine gemeinsame Cyber-Warnung heraus, dass zwar Signal und WhatsApp Ende-zu-Ende-Verschlüsselung bieten, sie jedoch nicht für klassifizierte oder hochsensible Regierungsinformationen verwendet werden sollten. Die Warnung stellt fest, dass sobald Konten kompromittiert sind, Hacker auf eingehende Nachrichten, einschließlich Gruppenchats, zugreifen können, was potenziell mehrere Personen und Organisationen exponiert.

Schutzmaßnahmen und Best Practices

Um sich vor ähnlichen Angriffen zu schützen, empfehlen Cybersicherheitsexperten:

1. Nie Bestätigungscodes teilen: Legitime Dienste fragen nie nach SMS-Bestätigungscodes oder PIN-Nummern per Nachricht
2. Über alternative Kanäle verifizieren: Wenn von 'Support' kontaktiert, über offizielle Websites oder bekannte Kontaktmethoden verifizieren
3. Zusätzliche Sicherheitsfunktionen aktivieren: Registrierungssperren und Zwei-Faktor-Authentifizierung nutzen, wo verfügbar
4. Kontoaktivität überwachen: Regelmäßig verbundene Geräte und aktive Sitzungen in den App-Einstellungen prüfen
5. Verdächtige Nachrichten melden: Verdächtige Kommunikationen an offizielle Sicherheitsteams weiterleiten

Die niederländischen Behörden empfehlen speziell, dass Benutzer auf Anzeichen von Kompromittierung achten, einschließlich doppelter Konten in Chatgruppen, plötzlicher Änderungen des Anzeigenamens, die sie nicht vorgenommen haben, oder unerwarteter Anfragen zur Kontobestätigung.

Globale Implikationen und Reaktion

Diese Kampagne scheint Teil einer breiteren globalen Operation zu sein, die Regierungsbeamte, Militärpersonal und Journalisten weltweit ins Visier nimmt. Die internationale Cybersicherheitsgemeinschaft hat eine erhöhte Raffinesse in Social-Engineering-Angriffen festgestellt, wobei KI-generierte Inhalte betrügerische Kommunikationen zunehmend schwer von legitimen Nachrichten unterscheidbar machen.

Signal und WhatsApp haben beide Erklärungen abgegeben, die betonen, dass ihre Verschlüsselungsprotokolle sicher bleiben und dass diese Angriffe Benutzerverhalten ausnutzen, anstatt technische Schwachstellen. Beide Unternehmen raten Benutzern, vorsichtig bei unerwarteten Bestätigungsanfragen zu sein und offizielle Support-Kanäle für Hilfe zu nutzen.

Häufig gestellte Fragen

Was ist Smishing und Quishing?

Smishing ist SMS-Phishing, bei dem Angreifer betrügerische Textnachrichten senden, um Opfer zu täuschen. Quishing ist QR-Code-Phishing, bei dem bösartige QR-Codes Benutzer auf betrügerische Websites umleiten oder Geräteverknüpfung ermöglichen.

Wie kann ich feststellen, ob mein Signal- oder WhatsApp-Konto kompromittiert wurde?

Überprüfen Sie auf unbekannte verbundene Geräte in Ihren App-Einstellungen, suchen Sie nach doppelten Konten in Gruppenchats und überwachen Sie auf Nachrichten, die Sie nicht gesendet haben, oder Änderungen des Anzeigenamens, die Sie nicht vorgenommen haben.

Sollte ich Signal und WhatsApp für sensible Kommunikationen nicht mehr verwenden?

Während diese Apps starke Verschlüsselung bieten, empfehlen die niederländischen Geheimdienste, dass sie nicht für klassifizierte Regierungsinformationen verwendet werden sollten. Für persönliche sensible Kommunikationen bleiben sie sicher, wenn Benutzer richtige Sicherheitspraktiken befolgen.

Was soll ich tun, wenn ich eine verdächtige Bestätigungsanfrage erhalte?

Nicht antworten oder Codes teilen. Kontaktieren Sie den Dienst über seine offizielle Website oder App mit bekannten Kontaktmethoden, um die Legitimität der Anfrage zu überprüfen.

Sind diese Angriffe auf Regierungsmitarbeiter beschränkt?

Während Regierungsmitarbeiter primäre Ziele zu sein scheinen, könnten ähnliche Taktiken gegen jeden Benutzer eingesetzt werden. Alle Signal- und WhatsApp-Benutzer sollten sich dieser Social-Engineering-Techniken bewusst sein.

Quellen

AIVD/MIVD Cyber Advisory
TechCrunch Report
BNR Original Report
Jort Kollerie Cybersecurity Expert