ze EEE __ u
= BEER ur 7. Es ui
= nf en De 2) 0 Wr 5
Br er ” u a
| Be [2 %
= ne ” F+ “4 Fa u nn
" — mem a . e
D un . ii 2
u r “
De
> en re y
- Ba < BE ©
u . n . Pau
- - ;
N - ” ‚ . ü
Som z .
s ei Pr Pa
\ = k w Ki Fe |
- ” nu. .
” > - 4 ä x x
f u \ .
_ n ” m
£ N \
my Ey _ kr =
I u - ” . 7
” R PB
u “- 1 . ® Y —
e E v
) u

© Evorona - Stock.adobe.com

 

R|

Bundesamt
für Sicherheit in der

Informationstechnik

ER TwLrr

TLP:GREEN

Social-Engineering Kampagne
BSI & BfV

 

R|

Bundesamt für
Verfassungsschutz

© Evorona - stock.adobe.com

Verfassungsschutz für Sicherheit in der
Informationstechnik

AR Bundesamt für uwcHeT33aN AR | Bundesamt

Übernahme von Benutzerkonten von hochrangigen
politischen Personen bei Messengerdiensten

1. Sachverhalt

BSI und BfV haben Kenntnis über eine aktuelle Social-Engineering-Kampagne, die sich
insbesondere gegen hochrangige politische Personen richtet. Nach dem bisherigen Er-
kenntnisstand verfolgen die Angreifenden folgende Ziele:

e Übernahme eines bestehenden Messengeraccounts

e Anlegen eines Messengeraccounts unter dem Namen der hochrangigen politi-
schen Person, der mit der tatsächlichen Mobilfunknummer der Person verknüpft

ist.

Um diese Ziele zu erreichen, benötigen die Angreifenden den Authentifizierungscode des
jeweiligen Messengerdienstes. Der Authentifizierungscode dient dazu, die Verknüpfung
zwischen Messengerdienst und Mobilfunknummer zu verifizieren und wird i.d.R. vom
Messengerdienst per SMS oder mittels eines kurzen Anrufs mitgeteilt. Durch Social En-
gineering bringen die Angreifenden die Betroffenen dann dazu, ihnen diesen Code wei-

terzuleiten.

Konkret nutzen die Angreifenden das bestehende Vertrauensverhältnis zweier hochran-
giger politischer Personen aus: sie täuschen auf dieser Grundlage und unter Verwendung
der tatsächlichen Mobilfunknummer einen Gesprächsbedarf vor und bitten um Nutzung
eines bereits bestehenden oder Einrichtung eines neuen Messenger-Accounts und um
Übermittlung des Authentifizierungscodes. Mit diesem Code können sie dann selbst das
neuangelegte bzw. bestehende Messengerkonto, das mit der Mobilfunknummer der be-

troffenen Person verknüpft ist, übernehmen.

R

Bundesamt für uwcHeT33aN AR Bundesamt
Verfassungsschutz für Sicherheit in der
Informationstechnik

SEITE 3 VON 5
2. Vorgehensweise

1. Es wird i.d.R. zunächst eine initiale Kontaktnachricht gesendet. In dem daran an-
schließenden Gespräch wird die betroffene Person davon überzeugt, dass für ein
vermeintlich sichereres Gespräch auf einen (anderen) Messenger gewechselt
werden soll, z.B. von SMS auf Signal, WhatsApp oder Telegram. Der Akteur ver-

sucht so eine Vertrauensbasis für das weitere Vorgehen zu schaffen.

2. Die Betroffenen des Angriffs werden dazu gebracht sich auf diesen Diensten ein

neues Benutzerkonto anzulegen.

3. Unter einem Vorwand erfragt der Akteur den Authentifizierungscode der jeweiligen

betroffenen Person, der zum Anlegen eines neuen Benutzerkontos benötigt wird.

4. Die betroffene Person vertraut darauf, mit dem tatsächlichen Nutzer der Mobilfunk-

nummer in Kontakt zu stehen und übermittelt den Authentifizierungscode.

5. Dies führt zur Übernahme des neu angelegten Benutzerkontos durch den Akteur.

3. Bewertung

Prinzipiell handelt es sich hierbei um ein bereits seit langem bekanntes Vorgehen, vor
dem das BSI auch in der Vergangenheit bereits entsprechend gewarnt hat (siehe auch
[BSI2020)).

Herausgehoben ist in diesem Fall jedoch der Weg der initialen Kontaktaufnahme. Die
Angreifenden geben sich als hochrangige Vertreter aus der Politik aus. Betroffene, die
Authentifizierungsdaten an die Angreifenden übersenden, verlieren die Hoheit über den
jeweiligen Messengeraccount. Diesen Account können die Angreifenden dann zum Bei-

spiel für Angriffe auf weitere Personen nutzen. Da die Angreifenden dann von einem au-

AR Bundesamt für uwcHeT33aN AR Bundesamt

Verfassungsschutz für Sicherheit in der
Informationstechnik

SEITE 4 VON5

thentifizierten Account aus kommunizieren, können sie sich leichter das Vertrauen weite-
rer potentieller Betroffener erschleichen. Sind die Accounts, aufgrund der durchgeführten
Authentifizierung, mit der originalen Telefonnummer des ursprünglichen Betroffenen ver-
knüpft, werden die neuen Accounts einem weiteren Betroffenen ggf. automatisch ange-
zeigt. Es erscheint zum Beispiel automatisch die Meldung "Max Mustermann nutzt jetzt
Telegram" bei dem neuen Betroffenen im Telegram-Messenger, falls ein Telegramkonto
für die Nummer von Max Mustermann angelegt wurde und die Nummer im Adressbuch

des weiteren Betroffenen vorhanden ist.

4. Handlungsempfehlung

e Übermitteln Sie niemals Authentifizierungscodes von Messengerdiensten an
andere Personen. Nur Sie benötigen diesen Code.

e Seien Sie gegenüber neuen Anfragen — auch von vorgeblich hochrangigen politi-
schen Persönlichkeiten — sensibel. Dies gilt insbesondere, wenn auf einen anderen
Messengerdienst gewechselt werden soll.

e Sollten Sie einem Angreifenden die Authentifizierungsdaten übersendet haben, set-
zen Sie umgehend Ihr Konto beim jeweiligen Messengerdienst zurück.

« Falls Sie vermuten, Opfer eines solchen Angriffs geworden zu sein, stehen Ihnen
BSI und BfV unter folgenden Kontaktdaten als Ansprechpartner jederzeit zur Verfü-

gung. Selbstverständlich werden entsprechende Vorfälle vertraulich behandelt.

lagezentrum@bsi.bund.de
und

cyberabwehr@bfv.bund.de

AR Bundesamt für uwcHeT33aN AR Bundesamt

Verfassungsschutz für Sicherheit in der
Informationstechnik

SEITE 5 VON 5

Weitere Informationen zur sicheren Nutzung von Messenger-Diensten finden Sie
unter [BS12022].

5. Links

[BSI2020] TLP:GREEN Cyber-Sicherheitswarnung BSI-2020-235221, Version 1.0:
Phishing-Angriffe auf Politiker und Bank-Vorstände

[BSI2022] TLP:WHITE IT-Sicherheit für Kandidierende und Mandatstragendeht-
tps://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-
und-Empfehlungen/Infos-fuer-Kandidierende/lnfo-fuer-Kandidierende/kandidie-

rende_node.html