Signal reagiert auf die umfangreiche Phishing-Kampagne mit Änderungen in der App. Derweil wird die Dimension der Attacke deutlicher: Schon im Januar waren fast 14.000 Accounts gezielt angeschrieben worden.

In einem Interview mit dem Spiegel (€) hat Signal-Chefin Meredith Whittaker angekündigt, dass der Messenger in Zukunft zusätzliche Warnhinweise anzeigen wird, um Phishing besser zu verhindern. Hintergrund der Maßnahme sind die teilweise erfolgreichen Phishing-Versuche gegen Vertreter:innen aus Politik, Militär und Journalismus, der in Deutschland nach Medienberichten zwei Ministerinnen und die Bundestagspräsidentin zum Opfer fielen.

Im Interview sagte Whittaker:

Wenn jemand zum ersten Mal eine Nachricht von einer unbekannten Nummer erhält, werden künftig zusätzliche Warnhinweise angezeigt. Das Annehmen neuer, unbekannter Kontakte wird in Zukunft nicht mehr mit einem einzigen Klick möglich sein und zwingend einen Warnhinweis enthalten. Wir prüfen noch weitere Ideen und werden dazu bald mehr bekannt geben. Und um es noch einmal klar zu sagen: Signal wird Nutzer niemals in einem zweiseitigen Chat kontaktieren, um sie nach ihrer PIN, ihrem Schlüssel oder anderen Informationen zu fragen.

Öffentlich bekannt wurde die Attacke in Deutschland, als netzpolitik.org am 28. Januar darüber berichtete, dass zahlreiche Journalist:innen im Visier stünden. Gut eine Woche nach dem Bericht warnten dann der Verfassungsschutz (BfV) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor der Angriffswelle. Mittlerweile haben die Behörden ein weiteres Update der Warnung samt Handlungsleitfaden veröffentlicht.

Am gestrigen Donnerstag war die Phishing-Kampagne auch Thema im Digital- und im Innenausschuss des Bundestages. In nicht-öffentlicher Sitzung wurde durch Verfassungsschutzchef Sinan Selen und BSI-Chefin Claudia Plattner die Kampagne nachgezeichnet und noch einmal vor Phishing gewarnt. Laut dem Bericht wussten die Behörden erst „im Januar“ über die Angriffe Bescheid. Nach Informationen von netzpolitik.org könnte allerdings ein Ende 2025 vom Phishing betroffener Bundestagsabgeordneter beide Behörden schon früher informiert haben.

Viel spricht für Russland als Urheber des Angriffs

Mittlerweile verdichtet sich, dass Russland hinter der Attacke stecken dürfte. Das niederländische Verteidigungsministerium hatte Anfang März verlautbart, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet. Die Bundesregierung schreibt den Angriff bislang nicht offiziell einem Land zu, ließ aber über Regierungskreise verbreiten, dass Russland dahinter stecke.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl der militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Mehr als 13.700 Telefonnummern

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Weiteren Spuren nachgegangen sind auch die IT-Sicherheitsexperten des Security Labs von Amnesty International, die sich schon frühzeitig mit der Kampagne befasst haben. Sie haben einem Bericht des Spiegels (€) zufolge ein Angriffswerkzeug gefunden. Wie Donncha Ó Cearbhaill, der Leiter des Amnesty-Labs dem Medium mitteilte, soll es sich um ein in russischer Sprache programmiertes Werkzeug namens ApocalypseZ handeln.

Die Untersuchung konnte erstmals auch eine Zahl der angegriffenen Signal-Accounts offenlegen. In der Datenbank der Angreifer konnten die Amnesty-Expert:innen Mobilfunknummern potenzieller Opfer sehen. „Im Januar waren es mehr als 13.700“, sagte Ó Cearbhaill gegenüber dem Spiegel. In den Screenshots des Schadprogramms konnten die Forscher:innen zudem sehen, dass viele der Phishing-Nachrichten über polnische und niederländische Nummern verschickt wurden.

Laut dem Spiegel-Bericht bestätigt sich nun auch die Annahme, die Donncha Ó Cearbhaill schon im Januar gegenüber netzpolitik.org geäußert hatte: Die Angreifer lesen die Kontakte derjenigen aus, die auf das Phishing hereinfallen – und versenden dann neue Nachrichten. Ziel ist die Übernahme der Accounts samt Einblicken in Netzwerke und zukünftige Inhalte der Kommunikation.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Laut dem Verfassungsschutz soll das Phishing über den Messenger Signal so erfolgreich sein, dass „zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“. Auch der Account der CDU-Bundestagspräsidentin wurde übernommen.

Die Phishing-Attacken auf dem Messenger Signal gegen prominente Personen aus Politik und Journalismus sind offenbar erfolgreich. Nun ist bekannt geworden, dass auch Bundestagspräsidentin Julia Klöckner auf den Phishing-Versuch hereingefallen ist. Nach Informationen von netzpolitik.org waren die Angreifer bei mindestens einem weiteren Bundestagsabgeordneten sowie mehreren Angehörigen großer Redaktionen erfolgreich.

„Es ist davon auszugehen, dass so zahlreiche Signal-Gruppen im parlamentarischen Raum derzeit von den Angreifern nahezu unbemerkt ausgelesen werden“, heißt es in der 20-seitigen Warnung des Verfassungsschutzes (BfV) an Bundestagsabgeordnete, aus der der Spiegel zitiert. Dem BfV seien bereits „zahlreiche hochrangige Betroffenheiten“ bekannt geworden, so der Bericht weiter. Angesichts der Art der Angriffe vermutet der Geheimdienst laut dem Spiegel allerdings eine „deutlich höhere Dunkelziffer“.

Zusammen mit Netzwerk Recherche hatte netzpolitik.org Informationen gesammelt, wer im Journalismus wann die Phishing-Attacke zugesandt bekam. Demnach hatten hierzulande deutlich mehr als 100 Journalist:innen aller Mediengattungen und zahlreicher Medienhäuser den Angriffsversuch erhalten.

Unter den Angegriffenen sind viele Journalist:innen aus dem investigativen Bereich sowie mehrere sehr prominente Vertreter:innen der Medienbranche. Die Angriffe laufen nach Informationen von netzpolitik.org seit September 2025. Dabei wurden manche Personen auch schon mehrfach von den Angreifern angeschrieben, manche bis zu vier Mal.

Bei der Phishing-Attacke, über die netzpolitik.org als erstes in Deutschland berichtet hat, schreiben die Angreifer eine Nachricht im Namen des Signal-Supports an die betroffene Person, in der sie behaupten, dass deren Account attackiert werde. Dazu fordert der falsche Support, dass die Nutzer:innen ihren Verifizierungscode senden. Geben die Nutzer:innen diesen und ihre Signal-PIN an die Angreifer, können diese den Account übernehmen und damit Kontakte, Netzwerke, Chats und Chatgruppen aus- und mitlesen.

Immer mehr Spuren beim Messenger-Phishing weisen auf Russland

Viel spricht für Russland als Urheber des Angriffs

Das niederländische Verteidigungsministerium hatte Anfang März gesagt, dass Russland hinter der laufenden Phishing-Kampagne gegen hochrangige Personen aus Politik, Militär, Zivilgesellschaft und Journalismus stecken soll. BSI und Verfassungsschutz hatten vor den Attacken gewarnt und diese als „wahrscheinlich staatlich gesteuert“ bezeichnet.

In einer Mitteilung auf der Webseite des niederländischen Verteidigungsministeriums sprechen sowohl die militärische Geheimdienst MIVD als auch der zivile Geheimdienst AIVD nun von „russischen Staatshackern“, die hinter dem Angriff auf Signal und WhatsApp stecken würden. Auch netzpolitik.org hat Hinweise, welche die Theorie einer russischen Urheberschaft des Angriffs untermauern.

Das Medienhaus Correctiv hatte zudem den Angriff auf den früheren Vizepräsidenten des Bundesnachrichtendienstes, Arndt Freytag von Loringhoven, ausgewertet und ist dabei auch auf digitale Spuren gestoßen, die nach Russland führen.

Verfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatten vor einigen Tagen noch einmal vor der Phishing-Attacke gewarnt und auch einen Leitfaden für Betroffene veröffentlicht.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

In a phishing attack, unknown actors are apparently attempting to gain access to accounts of journalists and activists on the Signal messaging service. We explain how the attack works and how you can protect yourself against it.

 This article is also available in German.

Journalists have increasingly been targeted by a well-known phishing attack on the Signal messenger service in recent days and weeks, according to reporting by netzpolitik.org. Dozens of (investigative) journalists, some of them prominent, at public television stations and several large and small media outlets, including Die Zeit, Correctiv, and netzpolitik.org, have been affected. Furthermore, individual high-profile representatives of civil society, including lawyers, were hit by the attack.

Netzpolitik.org has not yet been able to find any victims of the attack outside of these categories. This suggests a targeted phishing attack on specific phone numbers, but is not proof of such an attack.

“We have seen early indications that journalists, politicians, and civil society members in Germany and across Europe have been targeted.” Donncha Ó Cearbhaill, head of the Security Lab at Amnesty International, confirmed to netzpolitik.org.

“This Signal phishing campaign appears to be highly active,” Ó Cearbhaill said. According to the security expert, it is unclear how often the attacks were successful, but the spread of the campaign appears to be fueled by stolen address book entries collected from previous victims.

How does the attack work?

In the campaign, attackers send a Signal message, pretending to be “Signal Support” and claiming that there has been suspicious activity on the mobile phone and an attempt to access private data. For this reason, those affected must go through the Signal verification process again and send the verification code to a “Signal Security Support ChatBot”, the fraudulent messages claim. The earliest victims of the attack identified by netzpolitik.org were contacted in November. The first publicly known reports of the attempted attacks were published in October by Citizen Lab researcher John Scott-Railton.

The request from the fake support account reads as follows:

Dear User, this is Signal Security Support ChatBot. We have noticed suspicious activity on your device, which could have led to data leak. We have also detected attempts to gain access to your private data in Signal. To prevent this, you have to pass verification procedure, entering the verification code to Signal Security Support Chatbot. DON’T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.

If this chat request is accepted, victims receive a text message containing a verification code on their cell phone, as one victim confirmed to netzpolitik.org. This is apparently a genuine verification code from Signal. It indicates that immediately after accepting the chat request, the attackers attempt to re-register an account with the cell phone number.

If this verification code is passed on to the fraudulent “Signal Support”, the attackers may register a new account. Additionally, Signal accounts are protected with a Signal PIN, which is a second security layer in addition to the verification code delivered by SMS. If the attackers do not know this PIN, they cannot see contacts, groups, or content.

However, if the Signal PIN is passed on to the attackers, they can gain access to the user’s profile and contacts. Although they cannot see past chats, they can lock out the legitimate user by changing the Signal PIN and then activating the registration lock. This would allow attackers to take over the account permanently – other users in chats or groups would only notice that the security number has changed.

Possible target: Spying on political networks and sources

Afterwards, chat groups can be accessed, and the contacts and networks of those affected can be identified. In the case of journalists, for example, this could reveal sources who communicate with journalists in a confidential and encrypted manner. In the case of activists, political networks and contacts could be exposed. In the course of a permanent account takeover, the attacker can also read all communication content accumulated since the takeover.

None of the victims known to netzpolitik.org went further than accepting the chat and receiving the verification SMS.

However, an attacker with internal access to the operator’s mobile network infrastructure could intercept the verification codes sent by SMS and would not need to request them. To gain full access to the account, they would also have to request the Signal PIN. Netzpolitik.org was not able to identify who is behind the attack, based on the information available.

How can you protect yourself?

“These attacks do not exploit a vulnerability in the Signal application itself. Signal remains one of the most secure and widely used encrypted messaging apps,” said Donncha Ó Cearbhaill, the Amnesty International security expert.

A Signal spokesperson told netzpolitik.org: “Signal will never contact you in any way via a two-way chat within the app.” In addition, users should activate the registration lock. This can be done under “Settings” -> ‘Account’ and then activating the slider for “Registration lock.” Signal also stresses: “Never share your Signal PIN or registration lock with anyone else.”

Users who receive a message from a previously unknown account with the content described above or similar content, should report the incoming message and then click “report and block.” Under no circumstances should users follow the instructions: Signal would never contact users in this manner.

If a message appears in chats stating that a contact’s security number has changed, this often just means that they bought a new cell phone. Nevertheless, in such situations, users should always ask the contact in question why their security number has changed using a channel other than the Signal text chat.

A phone call or, even better, a video call is usually suitable to verify a changed security number. It is also advisable to display all devices connected to Signal and delete those that are no longer needed.

If you have been the target of this attack, have lost access to your Signal account in this way, or have further information and clues about this attack, please contact us confidentially for further investigation and research.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.