Achtung Signal-Phishing – Sicherheitshinweis | Robin Jünger MdB

Robin JüngerMitglied des Bundestages · AfD

Sicherheitshinweis · aktuelle Angriffswelle

Auf Grundlage einer Warnung des Bundesamtes für Verfassungsschutz

Gerade läuft ein Angriff. Du brauchst dafür keine Technik zu verstehen — nur eine Regel.

Die eine Regel

Eine Zahl, die du per SMS bekommst, gehört nur dir. Kein Support, kein Freund, keine Behörde, kein „Signal-Team" darf sie je von dir wollen. Wer danach fragt, ist ein Angreifer.

In 30 Sekunden verstehst du, warum

1 In 30 Sekunden

Was passiert hier gerade?

Kriminelle übernehmen gezielt Messenger-Konten – bei Signal, WhatsApp und Telegram. Der Verfassungsschutz warnt seit Anfang 2026 mehrfach. Die Welle ist weiter aktiv und passt sich ständig an.

Es ist kein Hacking im Film-Stil

Niemand „knackt" deine App. Die Täter bringen dich dazu, ihnen freiwillig den Schlüssel zu geben. Das nennt man Phishing.

Die Tarnung ist perfekt

Die Nachrichten sehen echt aus – mal als „Signal Support", mal als Einladung von einer Person, der du vertraust.

Es trifft jeden

Die Warnung ging an den Bundestag – aber derselbe Trick läuft gegen Bank-, Paket- und WhatsApp-Nutzer. Nur die Maske wechselt.

Es breitet sich aus wie ein Schneeball

Jedes gekaperte Konto wird zur Abschussrampe gegen alle Kontakte. Deshalb wächst die Welle so schnell.

①Ein Konto fällt

→

②Schreibt an alle Kontakte

→

③Nächste Konten fallen

→

∞… und so weiter

Genau deshalb kommt die gefährlichste Nachricht oft von einem echten Freund – dessen Konto bereits übernommen wurde. Vertrauen ist hier die Waffe.

2 So läuft der Angriff

Zwei Maschen – ein Ziel: dein Konto

Es gibt zwei Hauptvarianten. Wenn du beide einmal gesehen hast, erkennst du sie wieder – ein Leben lang.

Variante 1 · Kontoübernahme

Der gefälschte „Signal Support"

Ziel: Sie wollen den Code, der dein Konto öffnet.

Die Köder-Nachricht

Du bekommst eine täuschend echte Nachricht von „Signal Support": angeblich ein Sicherheitsvorfall, du sollst „mithelfen".

Der Code kommt per SMS

Im Hintergrund lösen die Täter eine echte Signal-SMS mit einem 6-stelligen Code aus. Die SMS ist echt – der Absender der Bitte nicht.

„Bitte schick uns den Code"

Du sollst den SMS-Code und deine Sicherheits-PIN „zur Bestätigung" eingeben oder zurückschreiben.

Die Falle schnappt zu

Der Code ist der Schlüssel zu deinem Konto. Du wirst ausgeloggt, die Täter sind jetzt „du".

Signal Support

⚠ Profilname nicht verifiziert · keine gemeinsamen Gruppen

Action Required: Account Compromise Detected. To secure your account, send us the verification code you receive. Failure to verify may result in limited access.12:16

Echtes Signal schreibt dich niemals per Direktnachricht an.

Variante 2 · Stilles Mitlesen

Der Einladungs-Link vom „Freund"

Ziel: Sie koppeln unbemerkt ein eigenes Gerät an dein Konto.

Nachricht von einem Bekannten

Eine dir bekannte Person schickt einen Link – z. B. „Tritt dieser neuen Gruppe bei". Ihr Konto wurde aber schon vorher übernommen.

Die nachgebaute Webseite

Der Link führt auf eine Seite, die exakt aussieht wie Signal oder WhatsApp – aber den Tätern gehört.

QR-Code scannen / Button klicken

„Zum Beitreten QR-Code scannen." In Wahrheit koppelst du damit ein fremdes Gerät an dein Konto.

Die Falle schnappt zu

Du behältst dein Konto – merkst aber nicht, dass jemand jede Nachricht still mitliest. Gesendet wie empfangen.

Einladung zur Gruppe „Arbeit":
https://authorization-test.tech/pUsl9nuZo649dKua0HL7uG5npb-Aq1bn

Eine echte Gruppeneinladung führt nie auf eine fremde Adresse mit Zufallszeichen.

Die Profis fallen darauf rein. Genau deshalb musste der Verfassungsschutz 20 Seiten verschicken. Das ist keine Dummheit — das ist Design.

Wer reinfällt und es verschweigt, hilft den Tätern. Wer es weitergibt, schützt andere.

3 Erkenne die Fälschung

Der Absender lügt. Die Adresse nicht.

Der angezeigte Name ist frei wählbar – wie ein Briefumschlag, auf den jeder „Polizei" schreiben kann. Schau immer auf die echte Adresse dahinter. Hier siehst du, wie das aussieht:

Beispiel · gefälschte E-Mail

Steht „Meta" drauf – ist „Meta" aber nicht drin

VonMeta Sicherheitsteam <support@meta-mail-secure.tk>

Andich@beispiel.de

BetreffIhr Konto wird in 24 Stunden gesperrt

Woran du es erkennst: Der Name sagt „Meta", die Adresse endet auf meta-mail-secure.tk. Echte Meta-Mails kommen von @meta.com – nicht von angehängten Zusatzwörtern oder Endungen wie .tk / .help / .info.

Beispiel · gefälschte E-Mail

„Signal" als Name, Fantasie-Adresse dahinter

VonSignal <noreply@signal-account-verify.help>

Andich@beispiel.de

BetreffNeuer Login erkannt – jetzt bestätigen

Woran du es erkennst: Echte Dienste betteln nicht per Mail um „Bestätigung mit Code". Der Druck („jetzt", „24 Stunden", „gesperrt") ist immer ein Warnsignal. Tippe nie auf den Knopf in solchen Mails – öffne die App selbst.

Beispiel · gefälschter Chat

Der „Support", den es nicht gibt

Signal Support

⚠ Keine gemeinsamen Gruppen · Profil nicht verifiziert

Enter the verification code to pass verification. DON'T TELL ANYONE THE CODE, NOT EVEN SIGNAL EMPLOYEES.jetzt

Woran du es erkennst: „Sag den Code niemandem – und jetzt sag ihn mir." Dieser Widerspruch ist die Masche. Und: Signal hat keinen Chat-Support, der dir schreibt.

Beispiel · gefälschter Link

Die Adresse, die nirgendwo hingehört

„Tritt der Gruppe bei":
https://signal-grp-join.tech/v/8f3aQ-2zLp9rTx0wY

Woran du es erkennst: Echte Signal-Links bleiben auf signal.org/signal.me. Wirre Zeichenketten und fremde Endungen (.tech, .xyz, .top) sind ein klares Stopp-Signal.

4 Selbsttest

Bin ich betroffen?

Vier kurze Fragen. Klick dich durch – am Ende sagen wir dir genau, was zu tun ist. Es werden keine Daten gespeichert oder gesendet.

5 Heute erledigen

Drei Dinge – auch wenn (noch) nichts passiert ist

Das ist der wichtigste Teil. Wer diese drei Einstellungen vorab macht, dem kann der Angriff fast nichts mehr anhaben. 10 Minuten, einmalig.

Schutz 1

Registrierungssperre an

Signal öffnen → Menü (⋮) → Einstellungen
Konto auswählen
Registrierungssperre aktivieren

Warum: Selbst wenn jemand deinen SMS-Code hat – ohne deine PIN kann er dein Konto nirgendwo neu anmelden. Das ist die stärkste Bremse.

Schutz 2

Handynummer verbergen

Einstellungen → Datenschutz
Telefonnummer → „Wer kann sie sehen"
Auf Niemand stellen

Warum: Deine Nummer ist der Ausgangspunkt jedes Angriffs. Was niemand sieht, kann auch niemand missbrauchen.

Schutz 3

Gekoppelte Geräte prüfen

Einstellungen → Gekoppelte Geräte
Liste durchsehen
Alles entfernen, das du nicht kennst

Warum: Hier sitzt bei Variante 2 der heimliche Mitleser. Im Zweifel alle Geräte entfernen – dein Konto bleibt erhalten.

6 Es ist passiert

Was jetzt? Zwei Fragen, ein Weg.

Keine Panik, kein 20-Seiten-PDF. Beantworte zwei Fragen – du bekommst genau den einen Plan, der für deine Lage gilt.

Hast du den SMS-Code oder deine PIN tatsächlich eingegeben bzw. weitergegeben?

Verstanden – dann ist Zeit kritisch.

Kommst du noch normal in dein Konto, ohne dich neu anmelden zu müssen?

→ Zum passenden Maßnahmenpaket

Paket 1Sofortige GefahrenabwehrLink/QR geklickt, aber kein Code/PIN eingegeben – oder etwas kam dir komisch vor+

Szenario: Du hast einen Link/QR angeklickt bzw. eine „Support"-Nachricht erhalten, aber keinen Code und keine PIN herausgegeben.

Gekoppelte Geräte bereinigen: alle unbekannten Geräte sofort entfernen. Im Zweifel alle.
PIN sofort ändern, solange du noch Zugriff hast.
Registrierungssperre aktivieren – verhindert Neuanmeldung durch Fremde.
Nummer verbergen und automatische Nachrichtenlöschung einschalten.
Melden & blockieren: das angebliche „Support"-Profil. Signal schreibt nie per DM.
Umfeld warnen über einen anderen Kanal (E-Mail, Telefon) – nicht über den Messenger.
Gruppen-Admin? Auffällige/doppelte Konten und „Deleted Account"-Einträge entfernen.

Paket 2Erweiterte GefahrenabwehrCode/PIN eingegeben – aber du hast noch Zugriff auf dein Konto+

Szenario: Du hast Code und/oder PIN herausgegeben, kommst aber noch in dein Konto.

Konto löschen (im Messenger, nicht nur die App!). App löschen behebt nichts.
Umfeld informieren und deinen alten Kontakt aus allen Gruppen entfernen lassen.
Neues Konto mit neuer PIN anlegen.
Danach alle Schritte aus Paket 1: Registrierungssperre, Nummer verbergen, Gruppen prüfen.
Die Täter kennen deine Nummer. Für maximale Sicherheit: neue Mobilnummer und damit neu registrieren.

Paket 3Umfassende WiederherstellungCode/PIN eingegeben UND kein Zugriff mehr / Neuanmeldung nötig+

Szenario: Dein Konto ist vollständig übernommen. Eigenständige Rückgewinnung ist nicht möglich.

Konto durch Signal löschen lassen: nur der echte Signal-Support kann das jetzt – Anfrage über die offizielle Support-Seite.
Umfeld über anderen Kanal warnen: ab Übernahme ist vermutlich die ganze Kommunikation abgeflossen.
Deine Kontakte sollen dein altes Konto blockieren und aus allen Gruppen entfernen.
Betroffene Gruppen neu erstellen – nur über anderen Weg verifizierte Personen wieder aufnehmen.
Alle Schutzschritte aus Paket 1 & 2: neue Nummer, neue PIN, Registrierungssperre, Nummer verbergen.

7 Fürs Leben gelernt

Derselbe Trick, andere App

Du musst dir nicht 20 Maschen merken – nur das Prinzip: Code oder Bestätigung von außen erbeten = Stopp. So sieht es woanders aus:

„6-stelliger Code"

Exakt dieselbe Masche. Schalte die Verifizierung in zwei Schritten ein – das ist hier die Registrierungssperre.

Login-Code & 2FA

„Schick mir deinen Login-Code" = Kontodiebstahl. Setz ein 2-Schritt-Passwort.

Bank

TAN am Telefon

Keine Bank fragt je nach TAN, PIN oder Passwort – nicht am Telefon, nicht per Mail. Niemals.

Paket / Zoll

„Gebühr nachzahlen"

SMS mit Link und Zeitdruck. Adresse prüfen, App selbst öffnen, nie über den Link gehen.

8 Zum Mitnehmen

Die 5 Regeln fürs Leben

Mach einen Screenshot. Schick ihn deinen Eltern, Kindern, Kollegen. Das ist der beste Schutz, den es gibt.

Codes & PINs verlässt du nie. Niemand Seriöses fragt danach.

Druck & Eile sind die Masche. Echte Stellen lassen dir Zeit.

Name ≠ Absender. Immer die echte Adresse dahinter prüfen.

Komische Nachricht von Freunden? Auf anderem Weg rückfragen.

App selbst öffnen statt auf Links/Knöpfe in Nachrichten tippen.

9 Schnellhilfe

Offizielle Stellen & echte Links

Nur geprüfte, offizielle Quellen. Speichere dir diese Seite – falls es einmal schnell gehen muss.

Im Ernstfall hier entlang

1Leitfaden des Verfassungsschutzesverfassungsschutz.de · vollständige Originalanleitung 2BSI – Empfehlungen zur Angriffswellebsi.bund.de/dok/phishing-signal-support 3Echter Signal-Support (Kontoübernahme)support.signal.org · nur hier, nie per Chat 4Verdacht melden – Cyber-/Spionageabwehr BfVverfassungsschutz.de · Hinweis geben

Woher diese Seite kommt

Die Inhalte beruhen auf der offiziellen Sensibilisierung des Bundesamtes für Verfassungsschutz (Mai 2026) und Empfehlungen des BSI. Hier verständlich aufbereitet – damit es wirklich jeder versteht.

Faustregel für alles: Wer dich nach einem Code, einer PIN oder einer TAN fragt, will dich bestehlen – egal wie echt es aussieht.