Falsche Support-Nachrichten: Russlands Geheimdienste zapfen Messenger-Konten an

Mit gefälschten Support-Nachrichten versuchen russische Geheimdienste seit Jahren, an die Zugangsdaten von Messengern wie WhatsApp und Signal zu kommen. Die ukrainische Sicherheitsbehörde SSU und das FBI haben nun eine breit angelegte Kampagne aufgedeckt, die sich gegen Regierungsvertreter, Militärs, Politiker und Aktivisten in der Ukraine, Europa und den USA richtet. Die Angreifer verschicken manipulierte SMS, die vorgeben, vom offiziellen Support des Messengers zu stammen. Wer darauf hereinfällt und seine Zugangsdaten preisgibt, verliert die Kontrolle über sein Konto – und damit potenziell sensible militärische, politische oder wirtschaftliche Informationen.

Die SSU warnt in einer auf Telegram veröffentlichten Mitteilung, dass die Angriffe nicht nur gezielt Organisationen oder öffentliche Personen treffen, sondern auch private Nutzer in der Ukraine. Die Täter nutzen dabei gezielt die Vertrautheit der Opfer mit ihren Messengern aus. Wer etwa eine Nachricht erhält, die angeblich von der Support-Abteilung von WhatsApp oder Signal stammt und zur Eingabe von Login-Daten auffordert, sollte besonders vorsichtig sein. Hinter solchen Nachrichten stecken keine echten Support-Mitarbeiter, sondern Kriminelle oder staatliche Akteure, die gezielt nach Informationen suchen.

Die Kampagne ist Teil einer größeren Strategie russischer Nachrichtendienste, um an vertrauliche Daten zu gelangen. Ähnliche Angriffe wurden bereits zuvor beobachtet und bestimmten Hackergruppen zugeschrieben, die mit russischen Interessen in Verbindung gebracht werden. Dazu gehören unter anderem die Gruppen Star Blizzard, UNC5792 (auch bekannt als UAC-0195) und UNC4221 (auch bekannt als UAC-0185). Diese Gruppen sind für ihre gezielten Phishing-Angriffe auf Messengerdienste bekannt und nutzen dabei ähnliche Methoden wie die aktuellen Fake-Support-Nachrichten.

Wie die Angriffe ablaufen: Von der SMS zur Kontosperre

Die Täter versenden SMS, die auf den ersten Blick seriös wirken. Sie enthalten oft Logos oder Formulierungen, die denen des offiziellen Supports ähneln. Die Nachricht behauptet beispielsweise, dass das Konto des Nutzers gesperrt sei oder eine Sicherheitsprüfung erforderlich sei. Um dies zu vermeiden, solle der Nutzer auf einen Link klicken oder seine Zugangsdaten eingeben. Wer dieser Aufforderung nachkommt, übergibt seine Login-Daten direkt an die Angreifer. Diese können dann das Konto übernehmen und weitere Nachrichten im Namen des Opfers versenden – etwa an dessen Kontakte.

Einmal im Besitz der Zugangsdaten, haben die Angreifer Zugriff auf alle Nachrichten, die über den Messenger ausgetauscht werden. Das kann besonders brisant sein, wenn es sich um sensible Informationen handelt, die zwischen Regierungsvertretern, Militärs oder Diplomaten ausgetauscht werden. Die SSU betont, dass die Angriffe nicht nur auf institutionelle Accounts abzielen, sondern auch auf private Nutzer. Das bedeutet, dass selbst scheinbar unwichtige Kontakte zu einem Einfallstor für Spionage werden können.

Ein weiterer Schritt der Angreifer besteht darin, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Dazu nutzen sie die gestohlenen Zugangsdaten, um sich am Konto anzumelden, und fordern anschließend die Bestätigungscodes an, die per SMS oder App an das Opfer gesendet werden. Wer diese Codes preisgibt, ermöglicht den Angreifern den vollständigen Zugriff auf das Konto – selbst wenn 2FA aktiviert ist.

Betroffene Regionen und Zielgruppen: Wer ist besonders gefährdet?

Die Kampagne richtet sich vor allem an Personen in der Ukraine, aber auch in Europa und den USA. Besonders im Fokus stehen Regierungsvertreter, Militärs, Politiker und Aktivisten. Doch auch private Nutzer in der Ukraine sind betroffen. Die SSU betont, dass die Angriffe systematisch und langfristig angelegt sind. Das bedeutet, dass die Täter nicht nur einmalig zuschlagen, sondern über Monate oder sogar Jahre hinweg versuchen, an Informationen zu gelangen.

Die geografische Streuung der Angriffe zeigt, dass die Täter nicht nur an ukrainischen Daten interessiert sind. Auch europäische und amerikanische Ziele stehen auf der Liste. Das deutet darauf hin, dass die Kampagne Teil einer größeren strategischen Operation ist, die darauf abzielt, Informationen aus verschiedenen Ländern zu sammeln. Die Täter könnten dabei gezielt nach Informationen suchen, die für die russische Regierung von Interesse sind – etwa militärische Pläne, politische Strategien oder wirtschaftliche Daten.

Ein weiteres Risiko besteht darin, dass die gestohlenen Daten weiterverkauft oder für weitere Angriffe genutzt werden. Wer einmal die Kontrolle über ein Messenger-Konto verloren hat, könnte zum Beispiel zum Ziel von Erpressungsversuchen werden oder ungewollt als Mittelsmann für weitere Phishing-Angriffe dienen.

Bekannte Hackergruppen und ihre Methoden: Wer steckt hinter den Angriffen?

Obwohl die SSU keine konkrete Gruppe für die aktuelle Kampagne verantwortlich macht, gibt es starke Indizien, dass russische staatliche Akteure oder mit ihnen verbündete Gruppen dahinterstecken. Bereits in der Vergangenheit wurden ähnliche Angriffe bestimmten Hackergruppen zugeschrieben, die mit russischen Interessen in Verbindung gebracht werden. Dazu gehören unter anderem:

• Star Blizzard: Diese Gruppe wird mit dem russischen Geheimdienst FSB in Verbindung gebracht und ist für gezielte Phishing-Angriffe auf Messengerdienste bekannt. Sie nutzt dabei oft gefälschte Support-Nachrichten, um an Zugangsdaten zu gelangen.
• UNC5792 (auch bekannt als UAC-0195): Diese Gruppe wird ebenfalls mit russischen Interessen in Verbindung gebracht und hat in der Vergangenheit Angriffe auf Messengerdienste durchgeführt. Sie nutzt dabei ähnliche Methoden wie die aktuelle Kampagne.
• UNC4221 (auch bekannt als UAC-0185): Auch diese Gruppe wird mit russischen Nachrichtendiensten in Verbindung gebracht und hat in der Vergangenheit gezielte Angriffe auf Messengerdienste durchgeführt.

Diese Gruppen sind für ihre professionellen und zielgerichteten Angriffe bekannt. Sie nutzen nicht nur gefälschte Support-Nachrichten, sondern auch andere Methoden wie Spear-Phishing oder Social Engineering, um an vertrauliche Daten zu gelangen. Die Tatsache, dass mehrere dieser Gruppen ähnliche Methoden einsetzen, deutet darauf hin, dass es sich um eine koordinierte Kampagne handelt.

FBI warnt vor ähnlichen Kampagnen: Rückgriff auf Backup-Schlüssel

Nicht nur in der Ukraine, sondern auch in den USA warnen Behörden vor ähnlichen Angriffen. Das FBI hat kürzlich eine Kampagne russischer Nachrichtendienste aufgedeckt, die sich gegen hochrangige Ziele richtet. Die Täter versuchen dabei, die Opfer dazu zu bringen, ihre Backup-Schlüssel für Messengerdienste preiszugeben. Diese Schlüssel ermöglichen es, ein Konto auch dann wiederherzustellen, wenn der Zugriff verloren gegangen ist.

Die Täter nutzen dabei gezielt die Unsicherheit der Opfer aus. Sie versenden Nachrichten, die angeblich von einem Support-Mitarbeiter stammen und behaupten, dass das Konto des Opfers kompromittiert sei. Um dies zu verhindern, solle der Nutzer seinen Backup-Schlüssel eingeben. Wer dieser Aufforderung nachkommt, gibt den Angreifern die Möglichkeit, das Konto dauerhaft zu übernehmen – selbst wenn der ursprüngliche Login gesperrt wird.

Das FBI betont, dass solche Angriffe besonders gefährlich sind, weil sie nicht nur den Zugriff auf den Messenger ermöglichen, sondern auch die Möglichkeit bieten, die Identität des Opfers zu übernehmen. Das kann weitreichende Folgen haben, etwa wenn die Täter im Namen des Opfers weitere Nachrichten versenden oder sensible Informationen weitergeben.

Gegenmaßnahmen: Wie Nutzer und Organisationen sich schützen können

Die SSU und das FBI geben konkrete Empfehlungen, wie sich Nutzer und Organisationen vor solchen Angriffen schützen können. Dazu gehören:

• Aktive Sitzungen überprüfen: Nutzer sollten regelmäßig überprüfen, ob unbekannte Geräte oder Standorte auf ihr Messenger-Konto zugreifen. Viele Messenger bieten eine Übersicht der aktiven Sitzungen an, die gelöscht werden können.
• Zwei-Faktor-Authentifizierung aktivieren: Die 2FA bietet einen zusätzlichen Schutz, auch wenn die Zugangsdaten gestohlen wurden. Allerdings sollte der Bestätigungscode nicht an Dritte weitergegeben werden.
• QR-Codes und verdächtige Links meiden: Nutzer sollten niemals QR-Codes scannen oder auf Links klicken, die von unbekannten Absendern stammen. Auch verdächtige Nachrichten in Chats sollten ignoriert werden.
• Keine Bestätigungscodes oder Passwörter preisgeben: Selbst wenn eine Nachricht seriös wirkt, sollten Nutzer niemals Bestätigungscodes, PINs, Passwörter oder Account-Wiederherstellungsschlüssel eingeben. Echte Support-Mitarbeiter werden niemals nach solchen Daten fragen.
• Vorsicht bei Dateien aus unbekannten Chats: Anhänge oder Links aus unbekannten Chats sollten nicht geöffnet werden, da sie Schadsoftware enthalten könnten.

Organisationen sollten zudem Schulungen für ihre Mitarbeiter anbieten, um sie für solche Angriffe zu sensibilisieren. Besonders gefährdet sind Personen, die regelmäßig mit sensiblen Informationen arbeiten. Sie sollten regelmäßig über aktuelle Bedrohungen informiert werden und wissen, wie sie verdächtige Nachrichten erkennen und melden können.

Aktuelle Entwicklungen: Weitere Angriffe und neue Methoden

Die aktuellen Enthüllungen der SSU und des FBI sind kein Einzelfall. In den letzten Monaten gab es mehrere Meldungen über gezielte Angriffe auf Messengerdienste. So warnte das ukrainische CERT-UA vor einer Spear-Phishing-Kampagne, die von der Gruppe UNC1151 (auch bekannt als Ghostwriter und UAC-0057) durchgeführt wurde. Die Gruppe nutzte dabei kompromittierte Accounts, um einen Infostealer namens OYSTERBLUES zu verbreiten.

Diese Angriffe zeigen, dass die Täter ihre Methoden ständig weiterentwickeln. Sie nutzen nicht nur gefälschte Support-Nachrichten, sondern auch andere Techniken wie Social Engineering oder die Verbreitung von Schadsoftware. Die Tatsache, dass solche Angriffe immer häufiger werden, unterstreicht die Notwendigkeit, sich besser zu schützen.

Ein weiteres Problem ist die zunehmende Professionalisierung der Angreifer. Sie nutzen nicht nur technische Methoden, sondern auch psychologische Tricks, um ihre Opfer zu täuschen. Dazu gehören etwa das Vortäuschen von Dringlichkeit oder die Nutzung von vertrauten Logos und Formulierungen. Wer solche Nachrichten nicht genau prüft, kann schnell zum Opfer werden.

Fazit: Wachsamkeit und technische Schutzmaßnahmen sind entscheidend

Die aktuelle Kampagne russischer Geheimdienste zeigt einmal mehr, wie wichtig es ist, sich vor Phishing-Angriffen zu schützen. Gefälschte Support-Nachrichten sind nur eine von vielen Methoden, die von staatlichen und kriminellen Akteuren genutzt werden, um an vertrauliche Daten zu gelangen. Wer seine Messenger-Konten nicht ausreichend schützt, riskiert nicht nur den Verlust sensibler Informationen, sondern auch die Übernahme seiner digitalen Identität.

Nutzer sollten daher regelmäßig ihre Sicherheitseinstellungen überprüfen, Zwei-Faktor-Authentifizierung aktivieren und verdächtige Nachrichten ignorieren. Organisationen müssen ihre Mitarbeiter schulen und klare Richtlinien für den Umgang mit sensiblen Daten aufstellen. Nur so lässt sich das Risiko minimieren, Opfer solcher Angriffe zu werden.

Die Enthüllungen der SSU und des FBI sind ein Weckruf für alle, die Messengerdienste nutzen. Sie zeigen, dass die Bedrohung real ist und dass jeder – ob Privatperson oder Mitarbeiter einer Organisation – zum Ziel werden kann. Wer sich der Risiken bewusst ist und die empfohlenen Schutzmaßnahmen ergreift, kann sich besser gegen solche Angriffe wappnen.