Möglicherweise hast du bereits eine Phishing-Nachricht auf Signal erhalten, die angeblich vom Signal-Team stammt und nach deinem Verifizierungscode fragt. Diese Nachrichten sind gefälscht, also antworte nicht darauf und teile keine Informationen in den Chats. Melde und blockiere stattdessen den Absender, der diese Nachricht in der App an dich geschickt hat.
Nachrichten, die du über Signal sendest, sind Ende-zu-Ende-verschlüsselt. Das bedeutet, dass die Nachrichten nur von dir und dem Empfänger gelesen werden können. Obwohl Signal über ein fortschrittliches System zur Spam-Erkennung verfügt, können die Server den Inhalt der Nachrichten weder überprüfen noch blockieren. Daher besteht die Möglichkeit, dass du früher oder später eine Phishing-Nachricht erhältst.
In diesem Artikel werden wir uns ansehen, wie diese Phishing-Angriffe funktionieren, was du tun kannst, um dich auf Signal zu schützen, und was zu tun ist, wenn ein Angreifer erfolgreich war und dein Konto übernehmen konnte.
Inhalt
1. Wie funktionieren Phishing-Angriffe auf Signal?
2. Was passiert, wenn ein Angreifer dein Konto übernimmt?
3. Wie kannst du dich schützen?
1. Wie funktionieren Phishing-Angriffe auf Signal?
Zwei verschiedene Arten von Phishing
Phishing-Angriffe sind ein Beispiel für einen Social Engineering Angriff, bei denen ein Angreifer versucht, sensible Informationen des Opfers zu erlangen, indem er sich als jemand anderes ausgibt. Zu diesen sensiblen Informationen können Anmeldedaten, Passwörter, Bankdaten oder, im Fall von Signal, ein Verifizierungscode, eine PIN oder ein Backup-Wiederherstellungsschlüssel gehören.
Es ist wichtig zu wissen, dass solche Phishing-Angriffe weder die starke Verschlüsselung von Signal knacken noch Schwachstellen im Signal-Code ausnutzen. Stattdessen versuchen sie, Benutzer dazu zu verleiten, unbeabsichtigt wichtige Informationen preiszugeben.
Bei Signal gibt es zwei verschiedene Arten von Phishing-Versuchen:
- Klassische Betrugsversuche, bei denen Angreifer versuchen, ihre Opfer so zu manipulieren, dass sie Geld, Kreditkartendaten oder andere Informationen übermitteln, die nicht in direktem Zusammenhang mit Signal stehen.
- Phishing-Angriffe, bei denen versucht wird, ein Signal-Konto zu übernehmen, indem die Opfer dazu gebracht werden, ihren Verifizierungscode und optional auch ihre Signal-PIN oder ihren Wiederherstellungsschlüssel preiszugeben.
In diesem Artikel konzentrieren wir uns auf die zweite Art von Phishing-Angriffen, da diese speziell auf Signal abzielen und daher besondere Vorsichtsmaßnahmen und Gegenmaßnahmen erfordern. Hinweise zum Schutz vor der ersten Art allgemeiner Phishing- und Betrugsversuche, die auf allen Netzwerk-Apps und -Plattformen vorkommen, findest du auf dieser Seite des BSI.
So funktioniert die Registrierung eines Signal-Kontos
Doch sehen wir uns genauer an, wie Phishing-Angriffe versuchen könnten, dein Signal-Konto zu übernehmen. Um das zu verstehen, müssen wir zunächst verstehen, wie der allgemeine Ablauf bei der Registrierung eines neuen Signal-Kontos ist.
Bei Signal registrierst du deinen Account mit deiner Telefonnummer. Jedes Signal-Konto ist also mit einer bestimmten Telefonnummer verknüpft (beachte, dass bei Signal alles Ende-zu-Ende-verschlüsselt ist; die Signal-Server erfahren lediglich, dass eine Telefonnummer registriert ist, können aber weder Nachrichteninhalte noch die Gesprächspartner einsehen).
Um zu bestätigen, dass du tatsächlich Inhaber und Eigentümer dieser Telefonnummer bist, erhältst du bei der Registrierung bei Signal einen Verifizierungscode. Dieser wird dir standardmäßig per SMS zugesendet. Alternativ kannst du dir den Code auch automatisch per Anruf vorlesen lassen.
So sieht diese Bestätigungs-SMS von Signal aus:
Erst wenn du den korrekten Verifizierungscode eingegeben hast, kannst du dein neues Konto bei Signal registrieren. Denn die Tatsache, dass du den Verifizierungscode kennst, beweist Signal, dass du tatsächlich Inhaber der Telefonnummer bist, die du registrieren möchtest.
Im Rahmen des Registrierungsprozesses wirst du auch aufgefordert, Signal PIN. Diese PIN dient dazu, deine verschlüsselten Profilinformationen (Kontakte, Gruppenzugehörigkeiten, Einstellungen) bei Signal zu speichern und dir bei Bedarf deren Wiederherstellung zu ermöglichen (mehr dazu weiter unten). Du kannst diese Signal-PIN selbst auswählen. Sie kann entweder nur aus Nummern bestehen oder auch Buchstaben und Sonderzeichen beinhalten. Signal kennt diese PIN nicht und kann sie daher nicht wiederherstellen.
Wie Angreifer versuchen, dein Signal-Konto zu übernehmen
Nachdem wir nun ein gutes Verständnis davon haben, wie der Registrierungsprozess bei Signal funktioniert, können wir uns genauer ansehen, wie Phishing-Angriffe zur Übernahme deines Kontos tatsächlich ablaufen:
Zunächst würde ein Angreifer die Signal-App auf einem Smartphone installieren und beginnen, ein neues Konto zu registrieren. Anstatt seine eigene Telefonnummer einzugeben, würde er jedoch deine Nummer verwenden. Um die Registrierung abzuschließen, benötigt er allerdings den Verifizierungscode, der an deine Nummer gesendet wird. Daher muss der Angreifer den Verifizierungscode rasch und zur rechten Zeit von dir bekommen.
Genau deshalb versendet der Angreifer die Phishing-Nachricht an das Opfer. Diese Nachrichten geben oft vor, vom „Signal-Support“ oder dem „Signal-Sicherheits-Chatbot“ zu stammen und sehen häufig so aus (sie können auch in deine jeweilige Muttersprache übersetzt sein):
Diese Phishing-Nachrichten können sich im Detail unterscheiden und sehen oft etwa so aus (Beispiele von der Warnseite des FBI):
"Lieber User,
Dies ist der Signal Security Support ChatBot.
Wir haben verdächtige Aktivitäten auf Ihrem Gerät festgestellt, die zu einem Datenleck hätten führen können. Außerdem haben wir Versuche entdeckt, auf Ihre privaten Daten bei Signal zuzugreifen. Um dies zu verhindern, müssen Sie das Verifizierungsverfahren durchlaufen und den Verifizierungscode im Signal-Sicherheits-Chatbot eingeben. Geben Sie den Code NIEMANDEM weiter, NICHT EINMAL AN SIGNAL-MITARBEITER.
“Signal Security Team
In letzter Zeit haben Versuche, Benutzer unseres Messengers durch die Verbindung von Geräten Dritter zu hacken, zugenommen.
In diesem Zusammenhang aktualisiert Signal seine Nutzungsbedingungen und Datenschutzrichtlinien und führt eine obligatorische Zwei-Faktor-Authentifizierung für Nutzer ein.
Bleiben Sie sicher und vielen Dank, dass Sie den
sichersten Messenger mit Ende-zu-Ende Verschlüsselung nutzen."
„Unser System hat einen kürzlich unternommenen Anmeldeversuch von einem unbekannten Gerät oder Standort aus festgestellt. Aus Sicherheitsgründen haben wir diesen Versuch blockiert und Ihnen einen Bestätigungscode per SMS an Ihre registrierte Telefonnummer gesendet.“
Falls das NICHT Sie waren:
Um Ihr Konto zu sichern und diesen unberechtigten Zugriff zu blockieren, antworten Sie bitte auf diese Nachricht mit dem soeben erhaltenen Bestätigungscode.
Wenn Sie das waren:
Sie können diese Nachricht getrost ignorieren.
Der Anmeldeversuch wird in Kürze automatisch genehmigt.
Vielen Dank, dass Sie uns helfen, Ihr Konto zu schützen.“
"Lieber User,
Dies ist der Signal Security Support-Chatbot. Ein anderes Samsung Galaxy S10-Gerät ist mit Ihrem Konto verbunden.
Standort: Drohobytsch, Region Lemberg, Ukraine – IP: 178.212.97.211
Falls Sie das nicht waren, senden Sie: /Abbrechen
"Lieber User,
Wir haben verdächtige Aktivitäten auf Ihrem Gerät festgestellt, die zu einem Datenleck geführt haben. Außerdem haben wir Versuche entdeckt, auf Ihre privaten Daten in Signal zuzugreifen. Um dies zu verhindern, bitten wir Sie, ein kurzes Verifizierungsverfahren durchzuführen, das weniger als eine Minute dauert. Bitte geben Sie uns Bescheid, sobald Sie bereit sind. Mit freundlichen Grüßen
Signal Support”
Manchmal fordern diese Angriffe dich auf, deinen Verifizierungscode sofort zu senden, manchmal wollen sie zuerst eine allgemeine Antwort von dir, damit der Angreifer sicherstellen kann, dass du online und verfügbar bist, bevor er nach deinem Verifzierungscode fragt.
Wie diese Angriffe auch im Detail ablaufen, eines bleibt immer gleich: Sobald du dem Angreifer deinen per SMS erhaltenen Verifizierungscode sendest, verfügt dieser über alle notwendigen Informationen. Er kannte deine Telefonnummer bereits und hatte sie bei der Registrierung angegeben. Nun besitzt er aber auch den zugehörigen Verifizierungscode. Signal geht deshalb davon aus, dass der Angreifer tatsächlich Inhaber deiner Telefonnummer ist (da er den Verifizierungscode besitzt) und lässt ihn deine Telefonnummer registrieren.
Wenn alles wie beschrieben abläuft, war der Angreifer erfolgreich. Er kann nun dein Signal-Konto übernehmen und andere Signal-Nutzer kontaktieren und sich als du ausgeben. Aber es gibt auch gute Nachrichten:
1. Der Angreifer hat keinen Zugriff auf deine alten Nachrichten und Chats. Er hat auch keinen Zugriff auf deine Profilinformationen oder deine Kontaktliste (mehr dazu im nächsten Abschnitt zur Signal-PIN). Stattdessen wurde ein komplett neues Signal-Konto erstellt, das mit deiner Telefonnummer verknüpft ist.
2. Da der Angreifer dein Konto auf einem neuen Gerät registriert hat, wird sich die sogenannte „Sicherheitsnummer" in deinen Chats ändern. Diese Sicherheitsnummer ist mit einem Schlüssel auf deinem Gerät verknüpft und dient zur Erkennung von Man-in-the-Middle-Angriffen. Das bedeutet, dass alle deine Gesprächspartner eine kurze Benachrichtigung in ihren Chats erhalten, die darauf hinweist, dass sich etwas an deinem Konto geändert hat. Diese Nachricht wird sowohl in deinen Einzelchats als auch in den Gruppen angezeigt, denen ihr beide angehört.
Im Idealfall bemerken deine Signal-Kontakte die Änderung und werden misstrauisch. Noch besser ist es, wenn sie dich über einen anderen Kanal kontaktieren (z. B. per E-Mail oder Telefon) und sich vergewissern, dass es einen triftigen Grund für die Änderung deiner Sicherheitsnummer gibt (z. B. dass du dein altes Telefon verloren und ein neues erhalten hast).
Was deine Kontakte auf keinen Fall tun sollten, ist, einfach im Signal-Chat zu fragen, ob alles in Ordnung ist. Da dein Account jetzt vom Angreifer kontrolliert wird, kann er einfach antworten, dass alles okay ist, und sich eine plausible Ausrede ausdenken. Um das zu verhindern, können deine Kontakte Fragen stellen, bei denen sie sicher sind, dass nur du die richtige Antwort kennst („Wo haben wir uns kennengelernt?“ oder „Wie heißt mein Hund?“).
3. Auf deinem Telefon wirst du sofort von deinem Signal-Konto abgemeldet und siehst eine deutlich sichtbare Meldung, dass du nicht mehr bei Signal registriert bist, die etwa so lautet:
Dieses Gerät ist nicht mehr registriert. Das liegt wahrscheinlich daran, dass du deine Telefonnummer mit Signal auf einem anderen Gerät registriert hast.
Du wirst diesen erfolgreichen Angriff also sehr bald bemerken. Da du deine Telefonnummer noch kontrollierst, kannst du diese erneut bei Signal registrieren, einen neuen SMS-Verifizierungscode erhalten und dein Konto schnell wiederherstellen. Es sei denn, der Angreifer hat versucht, die Telefonnummer deines Kontos zu ändern (mehr dazu weiter unten).
Im nächsten Abschnitt wollen wir uns genauer ansehen, was genau passiert, wenn ein Angreifer dein Konto übernommen hat. Außerdem wollen wir uns ansehen, wie verschiedene Szenarien und Einstellungen in Signal einen erfolgreichen Angriff erschweren und verhindern.
2. Was passiert, wenn ein Angreifer dein Konto übernimmt?
Das im letzten Abschnitt beschriebene Angriffsszenario war lediglich das einfachste Szenario, in dem die Rolle der Signal-PIN noch nicht berücksichtigt wurde.
Wie bereits in unserer Beschreibung des Signal-Registrierungsprozesses erwähnt, wirst du bei der Registrierung aufgefordert, eine numerische oder alphanumerische Signal-PIN festzulegen. Du kannst zwar auch auf eine PIN verzichten (indem du während der Registrierung auf das Drei-Punkte-Menü klickst), es empfiehlt sich jedoch, eine Signal-PIN zu verwenden und dabei eine sichere PIN festzulegen. Dadurch kann Signal deine Profilinformationen, deine Kontaktliste, deine Gruppenmitgliedschaften, deine Einstellungen und deine Blockliste verschlüsselt auf dem Server speichern und sie bei einer erneuten Registrierung deines Kontos wiederherstellen.
Das bedeutet, dass Angreifer (wenn du keine Signal-PIN festgelegt hast oder die Angreifer deine Signal-PIN nicht kennen) niemals auf deine Profilinformationen, Gruppenmitgliedschaften oder Kontaktliste zugreifen können.
Durch die Wahl einer Signal-PIN kannst du zusätzlich einen starken Schutz vor Phishing-Angriffen aktivieren, indem du die Sicherheitseinstellung „Registrierungssperre“ in Signal aktivierst. Du kannst die Registrierungssperre in den Einstellungen deiner Signal-App im Bereich „Konto“ aktivieren (falls die Option nicht verfügbar ist, musst du zuerst eine PIN festlegen).
Wenn die Registrierungssperre aktiviert ist (beachte, dass sie nicht standardmäßig aktiviert ist), muss ein Angreifer, der ein Signal-Konto mit deiner Telefonnummer registrieren möchte, nun zwei Dinge wissen:
- den Verifizierungscode, der per SMS an deine Telefonnummer gesendet wird
- und die Signal-PIN deines Kontos
Kennt der Angreifer nur den Verifizierungscode, aber nicht die Signal-PIN, kann er das Konto nicht übernehmen. Stattdessen wird das Konto auf allen Geräten abgemeldet und ein 7-tägiger Inaktivitäts-Timer gestartet. Innerhalb dieser 7 Tage kann sich der Inhaber der Telefonnummer erneut registrieren, indem er einen neuen Verifizierungscode anfordert und die korrekte Signal-PIN eingibt. Da du weiterhin Zugriff auf deine Telefonnummer hast, sollte dies problemlos möglich sein. Verstreichen diese 7 Tage ohne Aktivität, kann jeder, der Zugriff auf die Telefonnummer hat (d. h. einen neuen Verifizierungscode besitzt), ein neues, leeres Konto für diese Telefonnummer registrieren, selbst ohne die Signal-PIN zu kennen.
Warum läuft die Registrierungssperre nach 7 Tagen ab?
Dass die Registrierungssperre nach 7 Tagen abläuft, mag zunächst verwirrend erscheinen. Besteht dadurch nicht die Möglichkeit für einen Angreifer, das Konto auch nach 7 Tagen noch zu übernehmen? Theoretisch ja, aber es gibt einen guten Grund dafür. Da Telefonnummern eine begrenzte Ressource sind und von Telefonanbietern gehandelt werden, erhältst du möglicherweise von deinem Telefonanbieter eine Telefonnummer, die zuvor von einer anderen Person genutzt wurde. Stell dir vor, diese Person hat Signal genutzt, hat eine Signal-PIN eingerichtet und die Registrierungssperre aktiviert. Du könntest dann niemals ein neues Signal-Konto mit der Telefonnummer registrieren, die dir nun gehört.
Die 7-tägige Sperrfrist für die Registrierung stellt einen guten Kompromiss dar, um beide Szenarien abzudecken. Einerseits sind 7 Tage mehr als ausreichend, um dein Konto neu zu registrieren, falls ein Angreifer deinen SMS-Verifizierungscode erlangt und versucht, dein Konto zu übernehmen. Andererseits berücksichtigt diese Frist, dass die Person, die versucht, ein Konto mit einer zuvor registrierten Telefonnummer zu erstellen, möglicherweise der rechtmäßige neue Inhaber dieser Telefonnummer ist und daher ein neues Konto mit dieser Nummer erstellen darf. In jedem Fall sind die Profilinformationen, Gruppenmitgliedschaften und die Kontaktliste des Kontos durch die Signal-PIN geschützt und werden nur wiederhergestellt, wenn die korrekte PIN angegeben wird.
Verschiedene Szenarien
Mit diesem Wissen können wir uns nun ansehen, wie Angriffe je nach Ausgangslage und den von den Angreifern erlangten Informationen ablaufen:
| Ausgangssituation: Jedes beliebige Signal-Konto |
| Angreifer hat: Nichts (keinen Verifizierungscode oder PIN) |
Ergebnis:
|
| Ausgangssituation: Signal-Konto ohne Signal PIN |
| Angreifer hat: Deinen Verifizierungscode |
Ergebnis:
|
| Ausgangssituation: Signal-Konto mit PIN aber ohne aktivierte Registrierungssperre |
| Angreifer hat: Verifizierungscode aber nicht deine PIN |
Ergebnis:
|
| Ausgangssituation: Signal-Konto mit PIN aber ohne aktivierte Registrierungssperre |
| Angreifer hat: Verifizierungscode und deine PIN |
Ergebnis:
|
| Ausgangssituation: Signal-Konto mit PIN und aktivierter Registrierungssperre |
| Angreifer hat: Verifizierungscode aber nicht deine PIN |
Ergebnis:
|
| Ausgangssituation: Signal-Konto mit PIN und aktivierter Registrierungssperre |
| Angreifer hat: Verifizierungscode und deine PIN |
Ergebnis:
|
Schauen wir uns nun noch zwei spezielle Szenarien nach einem erfolgreichen Angriff genauer an:
Szenario 1: Angreifer aktiviert PIN und Registrierungssperre nach Übernahme deines Kontos:
Stell dir vor, ein Angreifer übernimmt die Kontrolle über dein Signal-Konto, ändert deine Signal-PIN und aktiviert anschließend blitzschnell die Registrierungssperre, um dich an der Wiederübernahme deines Kontos zu hindern. Glücklicherweise funktioniert diese Strategie nicht, solange du die mit deinem Konto verknüpfte Telefonnummer noch kontrollierst.
Du kannst dich weiterhin mit deiner Telefonnummer und dem erhaltenen Verifizierungscode neu registrieren. Selbst wenn die Registrierungssperre des Angreifers aktiv ist, wird dieser sofort abgemeldet. Sowohl du als auch der Angreifer haben nun 7 Tage lang keinen Zugriff auf das mit dieser Telefonnummer verknüpfte Signal-Konto. Nach Ablauf dieser 7 Tage läuft die Registrierungssperre ab, und du (als Inhaber der Telefonnummer) kannst ein neues Konto erstellen (beachte, dass sich dadurch deine Sicherheitsnummer ändert).
Mit anderen Worten: Du musst 7 Tage warten, bis du wieder Zugriff auf dein Konto hast, und wenn du dein Signal-Konto nicht mit einem lokalen Backup oder bei Signal Secure Backups gesichert hast, must du ein neues, leere Konto erstellen (da du die vom Angreifer festgelegte PIN nicht kennst). Das ist jedoch ein geringer Preis, und der Angreifer verliert sofort nach deiner erneuten Registrierung den Zugriff auf das Konto.
Szenario 2: Angreifer änderte die Telefonnummer des Kontos nach der Übernahme
Dieses Szenario ist etwas kniffliger und nutzt eine weitere Funktion von Signal: die Möglichkeit, die mit einem Signal-Konto verknüpfte Telefonnummer zu ändern. Natürlich ist dies eine nützliche Funktion für legitime Anwendungsfälle, beispielsweise wenn du eine neue Telefonnummer erhalten hast, aber dein altes Signal-Konto behalten möchtest.
Ein Angreifer kann diese Funktion jedoch auch ausnutzen, indem er die mit deinem Konto verknüpfte Telefonnummer nach erfolgreicher Übernahme und bevor du dich erneut registrieren kannst, schnell ändert. Dadurch wird es dir unmöglich, die Kontoinhaberschaft zurückzuerlangen, da die neue Telefonnummer nicht dir gehört und du somit deine Kontoinhaberschaft nicht nachweisen kannst.
Einige deiner Kontakte werden in ihren Chats mit dir aber eine Warnung sehen, dass die mit diesem Konto verknüpfte Telefonnummer geändert wurde. Ähnlich wie bei der Änderung der Sicherheitsnummer sollte diese Nachricht deine Kontakte hoffentlich misstrauisch machen. Aus Datenschutzgründen kann diese Warnmeldung leider nur Kontakten angezeigt werden, die deine Telefonnummer bereits kennen. Oder genauer gesagt:
- Deine Kontakte sehen eine Benachrichtigung über deine geänderte Telefonnummer, wenn diese Person zuvor mit dir gechattet haben UND deine Telefonnummer in ihrem Telefonbuch gespeichert ist ODER wenn du in den Signal-Einstellung ausgewählt hast, das Jeder deine Telefonnummer sehen kann.
- Deine Kontakte sehen keine Benachrichtigung, wenn deine Telefonnummer nicht im Telefonbuch der betreffenden Person gespeichert ist UND du die Einstellung „Wer kann meine Telefonnummer sehen?“ auf „Niemand“ gesetzt hast. Sie erhalten auch keine Benachrichtigung, wenn sie dich als Kontakt blockiert haben.
3. Wie kannst du dich schützen?
Um dich und deine Signal-Konto vor den beschriebenen Phishing-Versuchen zu schützen, findest du hier die wichtigsten Sicherheitstipps:
1. Sei vorsichtig
Der wichtigste Tipp ist, bei unaufgeforderten Nachrichten von Gruppen und Kontakten, die du nicht kennst (und bei denen du nicht sicher sein kannst, dass sie wirklich von der angeblichen Person stammen) extrem vorsichtig zu sein.
Hier sind einige Warnzeichen für solche Nachrichten, die Signal auf seiner hilfreichen Supportseite zu Phishing und Betrug auflistet:
Warnzeichen:
- Unerwartete Nachrichten oder Anrufe, in denen nach sensiblen Informationen wie SMS-Codes, PINs oder Passwörtern gefragt wird.
- Vorspielen von Dringlichkeit: „Ihr Konto wird gesperrt/verloren gehen, wenn Sie nicht…“
- Verdächtige Links, falsch geschriebene Adressen.
Wenn du verdächtige Nachrichten erhältst, klicke in Signal sofort auf „Melden“ in der Chatansicht und klicke anschließend auf „Melden und blockieren“. Gib niemals deinen SMS-Verifizierungscode, deine Signal-PIN oder deinen Backup-Wiederherstellungsschlüssel an Dritte weiter, auch nicht, wenn diese behaupten, vom Signal-Team zu sein.
Die Signal-App fordert dich gelegentlich zur Bestätigung deines PIN-Codes oder Wiederherstellungsschlüssels auf, damit du dich an diese erinnerst. Dies geschieht jedoch immer in einem kleinen Pop-up-Fenster am unteren Rand der App (siehe unten) und NIEMALS in einem Chats oder Anruf.
2. Aktiviere die Registrierungssperre
Wie nun klar sein dürfte, ist die Aktivierung der Registrierungssperre wahrscheinlich die wichtigste Einstellung zum Schutz vor Phishing-Angriffen in Signal. Du kannst die Registrierungssperre in den Einstellungen deiner Signal-App im Bereich „Konto“ aktivieren.
Wenn die Registrierungssperre aktiviert ist, benötigt ein Angreifer, der ein Signal-Konto mit deiner Telefonnummer registrieren möchte, nicht nur deinen SMS-Verifizierungscode, sondern auch deine Signal-PIN. Daher nochmals: Gib diese Daten niemals an Dritte weiter.
3. Kläre deine Kontakte auf
Weise deine Kontakte darauf hin, misstrauisch zu werden, wenn sich die Sicherheitsnummer oder die Telefonnummer in Signal-Chats ändert. Bitte sie, sich entweder über einen anderen vertrauenswürdigen Kanal (deine E-Mail-Adresse oder per Telefon) zu melden, um die Gründe für diese Änderungen zu bestätigen.
Falls sie deine Identität über Signal bestätigen möchten, bitte sie, zur Sicherheit eine persönliche Information oder eine Anekdote zu erfragen, die nur du kennen kannst, um sicherzustellen, dass kein Angreifer dein Konto übernommen hat. Zum Beispiel: „Ich habe gesehen, dass sich deine Sicherheitsnummer geändert hat. Um sicherzugehen, dass du es noch bist, wie heißt mein Lieblingsitaliener?“
4. Sei vorsichtig mit QR-Codes und Einladungslinks
Neben diesen Phishing-Angriffen, die versuchen, dein Konto durch den Diebstahl deines Verifizierungscodes und deiner Signal-PIN zu übernehmen, sollten dir auch andere Social-Engineering-Angriffe bewusst sein. Diese versuchen, Zugriff auf dein Signal-Konto zu erlangen, indem sie dich dazu verleiten, neue Geräte zu verknüpfen und gefälschte Gruppeneinladungslinks verwenden. Für weitere Informationen lese diesen Blog-Artikel und merke dir als generelle Regel, auch bei QR-Codes und Einladungslinks sehr vorsichtig zu sein.
Beachte außerdem, dass es besonders gefährlich ist, dich durch Tricks dazu zu verleiten, fremde Geräte mit deinem Signal-Konto zu verknüpfen, da Angreifer dadurch Zugriff auf deinen Chatverlauf erhalten könnten. Signal hat daher den Dialog zur Geräteverknüpfung verbessert, um es Angreifern zu erschweren, Nutzer zu verwirren. Dennoch solltest du wachsam bleiben.
5. Gib deinen Backup-Wiederherstellungsschlüssel niemals weiter
Wenn du Signal Secure Backups nutzt, stelle sicher, dass du deinen 64-stelligen Wiederherstellungsschlüssel unter keinen Umständen an Dritte weitergibst. Wenn ein Angreifer Zugriff auf deinen SMS-Verifizierungscode und deinen Backup-Wiederherstellungsschlüssel erhält, kann er Zugriff auf dein Konto, alle deine Nachrichten und (einen Teil) deiner Mediendateien erlangen (abhängig davon, ob du den kostenlosen oder kostenpflichtigen Backup-Plan nutzt).
Um sicherzustellen, dass du weiterhin Zugriff auf deinen Backup-Wiederherstellungsschlüssel hast, fragt die Signal-App manchmal in einem Popup-Fenster in der App nach dem Schlüssel, aber NIEMALS in einem Chat.
Zusammenfassung
Wie jede Messaging-Plattform ist auch Signal von Spam und Phishing-Nachrichten betroffen. Um sich auf Signal zu schützen, sei vorsichtig bei unerwünschten Nachrichten und Kontaktanfragen, gib NIEMALS deinen Verifizierungscode, deine PIN oder deinen Backup-Wiederherstellungsschlüssel an Dritte weiter und aktiviere die Registrierungssperre in den Signal-Einstellungen.
Bleibe außerdem auf dem Laufenden über Signal Neuigkeiten und Updates, entweder über unseren RSS-Feed oder in dem du uns bei Bluesky oder bei Mastodon folgst.
