Journalists have increasingly been targeted by a well-known phishing attack on the Signal messenger service in recent days and weeks, according to reporting by netzpolitik.org. Dozens of (investigative) journalists, some of them prominent, at public television stations and several large and small media outlets, including Die Zeit, Correctiv, and netzpolitik.org, have been affected. Furthermore, individual high-profile representatives of civil society, including lawyers, were hit by the attack.

Netzpolitik.org has not yet been able to find any victims of the attack outside of these categories. This suggests a targeted phishing attack on specific phone numbers, but is not proof of such an attack.

“We have seen early indications that journalists, politicians, and civil society members in Germany and across Europe have been targeted.” Donncha Ó Cearbhaill, head of the Security Lab at Amnesty International, confirmed to netzpolitik.org.

“This Signal phishing campaign appears to be highly active,” Ó Cearbhaill said. According to the security expert, it is unclear how often the attacks were successful, but the spread of the campaign appears to be fueled by stolen address book entries collected from previous victims.

How does the attack work?

In the campaign, attackers send a Signal message, pretending to be “Signal Support” and claiming that there has been suspicious activity on the mobile phone and an attempt to access private data. For this reason, those affected must go through the Signal verification process again and send the verification code to a “Signal Security Support ChatBot”, the fraudulent messages claim. The earliest victims of the attack identified by netzpolitik.org were contacted in November. The first publicly known reports of the attempted attacks were published in October by Citizen Lab researcher John Scott-Railton.

The request from the fake support account reads as follows:

Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.

If this chat request is accepted, victims receive a text message containing a verification code on their cell phone, as one victim confirmed to netzpolitik.org. This is apparently a genuine verification code from Signal. It indicates that immediately after accepting the chat request, the attackers attempt to re-register an account with the cell phone number.

If this verification code is passed on to the fraudulent “Signal Support”, the attackers may register a new account. Additionally, Signal accounts are protected with a Signal PIN, which is a second security layer in addition to the verification code delivered by SMS. If the attackers do not know this PIN, they cannot see contacts, groups, or content.

However, if the Signal PIN is passed on to the attackers, they can gain access to the user’s profile and contacts. Although they cannot see past chats, they can lock out the legitimate user by changing the Signal PIN and then activating the registration lock. This would allow attackers to take over the account permanently – other users in chats or groups would only notice that the security number has changed.

Possible target: Spying on political networks and sources

Afterwards, chat groups can be accessed, and the contacts and networks of those affected can be identified. In the case of journalists, for example, this could reveal sources who communicate with journalists in a confidential and encrypted manner. In the case of activists, political networks and contacts could be exposed. In the course of a permanent account takeover, the attacker can also read all communication content accumulated since the takeover.

None of the victims known to netzpolitik.org went further than accepting the chat and receiving the verification SMS.

However, an attacker with internal access to the operator’s mobile network infrastructure could intercept the verification codes sent by SMS and would not need to request them. To gain full access to the account, they would also have to request the Signal PIN. Netzpolitik.org was not able to identify who is behind the attack, based on the information available.

How can you protect yourself?

“These attacks do not exploit a vulnerability in the Signal application itself. Signal remains one of the most secure and widely used encrypted messaging apps,” said Donncha Ó Cearbhaill, the Amnesty International security expert.

A Signal spokesperson told netzpolitik.org: “Signal will never contact you in any way via a two-way chat within the app.” In addition, users should activate the registration lock. This can be done under “Settings” -> ‘Account’ and then activating the slider for “Registration lock.” Signal also stresses: “Never share your Signal PIN or registration lock with anyone else.”

Users who receive a message from a previously unknown account with the content described above or similar content, should report the incoming message and then click “report and block.” Under no circumstances should users follow the instructions: Signal would never contact users in this manner.

If a message appears in chats stating that a contact’s security number has changed, this often just means that they bought a new cell phone. Nevertheless, in such situations, users should always ask the contact in question why their security number has changed using a channel other than the Signal text chat.

A phone call or, even better, a video call is usually suitable to verify a changed security number. It is also advisable to display all devices connected to Signal and delete those that are no longer needed.

If you have been the target of this attack, have lost access to your Signal account in this way, or have further information and clues about this attack, please contact us confidentially for further investigation and research.

Die Bundesregierung will Online-Radikalisierung und gewalttätigen Extremismus stärker bekämpfen. Deutschland hat zusammen mit Frankreich und den Niederlanden ein Diskussionspapier mit möglichen Maßnahmen erstellt.

Die Verordnung gegen terroristische Online-Inhalte und das Gesetz über digitale Dienste regeln viele Inhalte bereits. Den Staaten reichen diese Gesetze nicht, denn sie helfen nur gegen terroristische Inhalte, die immer illegal sind. „Gewalttätige extremistische Inhalte“ sind jedoch nicht illegal. Deshalb fordern die Staaten weitere Maßnahmen gegen „schädliche, aber legale“ Inhalte.

Ausweitung auf Terror und Extremismus

Deutschland, Frankreich und die Niederlande fordern einen Verhaltenskodex mit „strengeren Maßnahmen“ für Online-Plattformen. Die Staaten wollen die Unternehmen beispielsweise „ermutigen“, Warnsignale über extremistische Inhalte „an die zuständigen nationalen Behörden weiterzuleiten“.

Die Regierungen „empfehlen“, ein bestehendes Projekt zum Informations-Austausch auszuweiten, „von seinem Schwerpunkt auf Material über sexuellen Kindesmissbrauch auf terroristische und gewalttätige extremistische Inhalte“.

Projekt Laterne gegen Kindesmissbrauch

Vor 20 Jahren haben sich einige Tech-Unternehmen in einer Koalition zusammen geschlossen, um „sexuelle Ausbeutung von Kindern im Internet zu bekämpfen“. Das Bündnis war ursprünglich Teil der Organisation „Nationales Zentrum für vermisste und ausgebeutete Kinder“. Heute hat die „Tech-Koalition“ dutzende Mitglieder, darunter Google, Meta und Microsoft in „führender Rolle“.

Ende 2023 hat die Koalition das Projekt „Laterne“ verkündet. Die beteiligten Unternehmen teilen über das Programm Informationen über Kindesmissbrauch. Sie wollen insbesondere Plattform-übergreifende Versuche vom Missbrauch und Grooming aufdecken.

Die ausgetauschten Informationen können auf Inhalten basieren, wie URLs oder Hashwerte von Fotos und Videos. Sie können aber auch auf Ereignissen basieren. Wenn Accounts Kinderporngrafie konsumieren oder verbreiten, teilen die Unternehmen E-Mail-Adressen oder andere Account-Informationen von Tätern und Opfern.

Zweckbindung gegen übermäßige Eingriffe

Das Bündnis Tech-Koalition und das Produkt Laterne haben Sorgfaltspflichten für Menschenrechte entwickelt. Der erste Punkt ist eine Zweckbindung: „Der Anwendungsbereich von Lantern beschränkt sich ausschließlich auf die Bekämpfung sexueller Ausbeutung und Missbrauch von Kindern im Internet, um Datenschutz zu gewährleisten und übermäßige Eingriffe zu minimieren“.

Dieses Grundprinzip will die Bundesregierung gemeinsam mit Frankreich und den Niederlanden kippen. Die Unternehmen sollen mit Laterne nicht nur Missbrauch bekämpfen, sondern auch Extremismus und legale Inhalte.

Beschränkung als Schutzmaßnahme

Auf Anfrage von netzpolitik.org zeigt sich die Tech-Koalition verwundert über den Vorschlag. Eine Sprecherin bestätigt, dass Lantern nicht für andere Inhalte bestimmt ist. „Lantern ist bewusst auf sexuelle Ausbeutung und Missbrauch von Kindern im Internet beschränkt. Das geht aus unserer Mission hervor und dient als Maßnahme zum Schutz von Privatsphäre und Datenschutz.“

Wir haben die Tech-Koalition auch gefragt, ob die Staaten ihren Vorschlag mit dem Bündnis diskutiert haben. Die Antwort: Nein, haben sie nicht.

Wir haben dem Bundesinnenministerium eine Reihe an Fragen gestellt. Eine Sprecherin „bittet um Verständnis, dass wir uns dazu nicht äußern“. Die Vorschläge sind schließlich ein sogenanntes „Non-Paper“ – und damit nicht offiziell zitierfähig.

Von Kinderschutz zu anderen Inhalten

Immer wieder werden staatliche Eingriffe zunächst mit Terrorismus oder Kindesmissbrauch begründet und nach der Einführung auf andere Inhalte ausgeweitet.

Das derzeit verhandelte EU-Gesetz zur Chatkontrolle begründet die Maßnahme mit sexuellem Missbrauch von Kindern. Europol und Abgeordnete fordern eine Ausweitung auf andere Inhalte wie Pornografie und Drogen.

Ein deutsches Gesetz begründete Netz-Sperren mit strafbarer Kinderpornografie. Bundeskriminalamt und Abgeordnete forderten eine Ausweitung auf Killerspiele und Glücksspiele. Heute sperren deutsche Provider Webseiten vor allem wegen Urheberrecht und Jugendschutz.

Die Bundesregierung begründet die Vorratsdatenspeicherung vor allem mit Kinderpornografie. Tatsächlich werden diese Daten schon heute vor allem wegen mutmaßlicher Urheberrechtsverletzungen abgefragt.

Die Tech-Unternehmen haben das Projekt Laterne explizit gegen Kindesmissbrauch gegründet und darauf beschränkt. Jetzt will die Bundesregierung dieses System auf Extremismus ausweiten – selbst wenn der legal ist.

Eine Sicherheitslücke in WinRAR ist seit August vergangenen Jahres bekannt, sie wurde dort auch rasch von Kriminellen attackiert. Obwohl ein Update zum Schließen der Schwachstelle bereitsteht, beobachtet Googles Threat Intelligence Group bis heute Angriffe darauf – von mehreren Tätergruppen.

„Von Regierungen unterstützte bösartige Akteure mit Verbindungen zu Russland und China sowie finanziell motivierte Gruppierungen nutzen diese n-Day-Sicherheitslücke weiterhin für unterschiedliche Operationen aus“, erklärt Google in einer aktuellen Analyse. „Die Missbrauchsmethode, eine Path-Traversal-Schwachstelle, die ermöglicht, Dateien in den Windows-Startordner abzulegen und dadurch Persistenz zu erreichen, unterstreicht eine Lücke in der grundlegenden Anwendungssicherheit und im Bewusstsein der Benutzer.“

Missbrauch von alter WinRAR-Lücke

Die in WinRAR 7.13 von Ende Juli 2025 geschlossene Sicherheitslücke (CVE-2025-8088, CVSS 8.4, Risiko „hoch“) nutzen die Angreifer oftmals mit manipulierten Archiven aus, die die schädliche Nutzlast in Alternative Data Streams (ADS) verstecken, wie Googles IT-Forscher erörtern. Opfer erhalten typischerweise eine PDF-Datei im Archiv angezeigt. Dabei sind bösartige ADS-Einträge enthalten, von denen einige Malware und andere einfach nur Dummy-Daten enthalten. Die Malware wird durch einen Path-Traversal in ein kritisches Verzeichnis geschrieben; oftmals zielen die Täter auf den Windows-Start-Ordner zum Einnisten ab. Die ADS-Funktion nutzen sie dabei zusammen mit der Path Traversal, als Beispiel nennt Google den zusammengestellten Namen aus „innocuous.pdf:malicious.lnk“ und dem Pfad „../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk“. Beim Öffnen des Archivs extrahiert WinRAR den ADS-Inhalt in den angegebenen Pfad. Beim nächsten User-Log-in wird die Malware dann automatisch gestartet.

Gleich mehrere staatliche Akteure haben die Lücke für Spionagetätigkeiten missbraucht. Einige Gruppen ordnet Google dabei dem russischen Umfeld zu, die damit das ukrainische Militär und Regierungseinrichtungen angegriffen haben. Andere wie UNC4895, auch als RomCom bekannt, verfolgen demnach finanzielle und Spionage-Ziele, die ebenfalls auf ukrainische Militäreinheiten abzielten. APT44, Spitzname FrozenBarents, verortet Google in Russland; TEMP.Armageddon (Carpathian) hat es auf ukrainische Regierungseinrichtungen abgesehen. Turla (Summit) lockte die Opfer mit Themen rund um ukrainische Militäraktivitäten und Drohneneinsätze.

Aber auch eine China zugeordnete Gruppe hat Google beobachtet, die durch die Schwachstelle die PoisonIvy-Malware mittels .bat-Dateien verteilt hat, die ihrerseits einen Trojan-Dropper nachgeladen hat. Dem gesellen sich rein finanziell ausgerichtete Cybergangs hinzu. Eine zielte auf Einrichtungen in Indonesien. Eine weitere nahm die Reise- und Tourismusbranche, insbesondere in Lateinamerika, ins Visier. Auf Brasilianer hat es eine weitere Gruppierung abgesehen und bösartige Chrome-Erweiterungen ausgeliefert, die von zwei Banken Zugangsdaten erbeutet haben.

Auf den Zug sind auch Gruppen aufgesprungen, die auf Anfrage Exploits erstellen und verkaufen (Malware as a Service), etwa eine Bande namens „zeroplayer“. Die haben jedoch in der Regel gleich mehrere Exploits im Gepäck. Durch solche Angebote verlängert sich laut Google die Zeit mit aktiven Angriffen auf Schwachstellen.

Wer WinRAR einsetzt, sollte die Software auf den jüngsten Stand bringen. Google führt in der Analyse eine längere Liste an Hinweisen auf eine Infektion (Indicators of Compromise, IOCs) auf, anhand welcher Interessierte prüfen können, ob sie möglicherweise Opfer eines Angriffs geworden sind.

(dmk)