Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist?

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 17:44:50 GMT

fluepke@chaos.social — Sat, 25 Apr 2026 17:44:50 GMT

@linuzifer Handynummern von Top Politikern dürfte der Kreml haben. Es ist also vergleichsweise einfach das gewünschte Opfer zu targetten.

Dass man bei Signal seit 2024 nicht mehr mit Gott und der Welt, sondern nur noch mit AWS und allen angeschlossenen Diensten seine Handynummer teilen muss; da kann man schon mal klatschen.

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 17:42:17 GMT

fluepke@chaos.social — Sat, 25 Apr 2026 17:42:17 GMT

@linuzifer Linus, das ist nicht das Problem.

Die Frage ist nicht, wie Du auf Signal Deine Identität gegenüber Dritten definierst, sondern wie Signal Dich identifiziert.

Für Signal bist Du eine Rufnummer, die SMS empfangen kann. Wenn ein Hacker jetzt an die SMS TAN (und ggf. Aktivierungscode) kommt, z.B. weil die User ein bisschen dumm sind, dann ist Game Over.

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 17:34:28 GMT

fluepke@chaos.social — Sat, 25 Apr 2026 17:34:28 GMT

@Rainer_Rehak @signalapp Kryptographie ist nur so gut, wie das Key Agreement. Handynummer austauschen ist kein Key Agreement, sondern X-Keyscore strong Identifier. NSA dankt.

Vor dem Hintergrund: Was spricht dagegen, einen Out-of-Band Channel für den Austausch einer öffentlichen, kryptographischen Identität zu nutzen? Also z.B. QR Code unter die Nase halten oder URL über established Channel austauschen.

Simplex macht das IMHO gut.

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 17:19:51 GMT

recumbenttravel@defcon.social — Sat, 25 Apr 2026 17:19:51 GMT

@fluepke mit Blackberry wäre das nicht passiert!

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:50:05 GMT

koehntopp@infosec.exchange — Sat, 25 Apr 2026 16:50:05 GMT

@mrtoto @fluepke
Pfuhhh....

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:46:58 GMT

mrtoto@social.mrtoto.net — Sat, 25 Apr 2026 16:46:58 GMT

@koehntopp @fluepke Ja so ist es. Sie könnten das natürlich freiwillig mitmachen und manche machen es vielleicht aber sehr viele nicht. Hat halt alles 2 Seiten. Man will vielleicht auch nicht das der Admin das Device des MdB kontrollieren kann.

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:32:08 GMT

koehntopp@infosec.exchange — Sat, 25 Apr 2026 16:32:08 GMT

@mrtoto @fluepke
Das heisst, die können vertrauliche Arbeit über beliebige Software machen???

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:28:35 GMT

mrtoto@social.mrtoto.net — Sat, 25 Apr 2026 16:28:35 GMT

@koehntopp @fluepke @signalapp Aus Erfahrung kann ich sagen: MDM ist bei MdBs nicht. Wegen der verfassungsmäßig garantierten Unabhängigkeit der Abgeordneten (Bei z.B. Fraktionsmitarbeitern sieht das anders aus).

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:25:48 GMT

koehntopp@infosec.exchange — Sat, 25 Apr 2026 16:25:48 GMT

@fluepke @signalapp
Warum erlaubt man den höchsten Ämtern des Staates die Nutzung einer Software, in der so etwas möglich ist?

Ich würde erwarten, dass man da per MDM konfigurierte Software erhält, die sich für Aussenstehende nicht autorisieren lässt.

(Das ist explizit keine Kritik an Signal)

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:17:00 GMT

linuzifer@23.social — Sat, 25 Apr 2026 16:17:00 GMT

@fluepke https://signal.org/blog/phone-number-privacy-usernames/ (20 Feb 2024)

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:16:10 GMT

rainer_rehak@mastodon.bits-und-baeume.org — Sat, 25 Apr 2026 16:16:10 GMT

@fluepke @signalapp Was schlägst Du stattdessen für Parlamentarier:innen vor? PGP-Keys vergleichen klappt mEn leider nicht so gut, per nPA wäre jetzt nicht mein Ansatz, SSI auch nicht, QR-Codes scannen fürs Handle-Tauschen scheint mir unrealistisch usw.

Ich mein' die Frage schon Ernst...

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:15:28 GMT

danimo@chaos.social — Sat, 25 Apr 2026 16:15:28 GMT

@fluepke @signalapp und als jemand der selber schon erfolgreich gephished wurde: Auf "Hallo hier ist der Signal Support, schicken Sie uns doch mal diese Nummer, die Sie nicht aus der Hand geben sollten" einzugehen, obwohl Signal seine User regelmäßig vor *genau diesem Scheme* warnt, lässt für mich schon Kritik an der handelten Person zu. Gäbe es keine Nummernpflicht wie bei Threema, jede Wette Politiker*innen würden sie trotzdem angeben, weil einfach viel bequemer.

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 16:10:01 GMT

danimo@chaos.social — Sat, 25 Apr 2026 16:10:01 GMT

@fluepke @signalapp oder - hear me out - hat das gar nichts mit einem konkreten Messenger zu tun sondern mit dem Problem, dass Politiker mit Ämtern fließend zwischen "Privat", "Mandat" und "Parteifunktion" hin und herwechseln, um Compliance und Dokumentationspflichten auszuweichen?

Reply to Haben wir uns schon festgelegt, wer am Erfolg der Phishingkampagne gegen @signalapp schuld ist? on Sat, 25 Apr 2026 15:57:34 GMT

chrysn@chaos.social — Sat, 25 Apr 2026 15:57:34 GMT

@fluepke Wir hätten je nach Inhalt der Kanäle noch die untätigen Korruptionsbehörden (wenn nicht-dienstliche und damit nicht an Aufzeichnungspflichten gebundene Kommunikationskanäle für politische Entscheidungen genutzt werden) oder die IT-Abteilungen, die Signal für Dienstkommunikation freigegeben haben.
Aber das wär nicht so lustig.