WhatsApp-Funktion schamlos ausgenutzt: BSI warnt vor neuem Betrug

3 Min
Artikel von:
Lea Mitulla

Auf WhatsApp geht eine neue Betrugsmasche um. Mit einem fiesen Trick wollen Betrüger dein Konto übernehmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Betrugsmasche, die auf WhatsApp-Nutzer abzielt. Die Rede ist vom sogenannten GhostPairing. Kriminelle nutzen dafür eine legitime Funktion des Messengers, die Geräteverknüpfung, um Zugriff auf dein Konto zu erhalten.

Forscher der Cybersicherheitsfirma "Gen" haben die Masche kürzlich in Tschechien aufgedeckt und einen Blog-Post darüber veröffentlicht. Ob der WhatsApp-Betrug auch in Deutschland umgeht, ist unklar. Wie ein Sprecher des BSI auf Anfrage von inFranken.de angab, seien nach jetzigem Stand keine Fälle bekannt, die eindeutig auf deutsche Betroffene zurückzuführen sind.

WhatsApp-Betrug "GhostPairing": So erkennst du die neue Masche

"Eine Gefahr ist jedoch nicht auszuschließen, da Cyberkriminelle selten an Landesgrenzen haltmachen und bspw. gut gefälschte englischsprachige Webseiten auch für deutsche Verbraucherinnen und Verbraucher zur Gefahr werden können", so ein BSI-Sprecher. Der Betrug läuft in der Regel nach dem folgenden Schema ab.

  • Potenzielle Opfer erhalten eine Nachricht von einem bekannten Kontakt, die einen Link enthält. Zum Beispiel: "Hey, ich hab dein Foto gefunden [Link]"
  • Der Link führt zu einer Webseite, die wie Facebook aussieht - dabei handelt es sich um eine Fälschung.
  • Nutzer sollen zunächst ihre Handynummer "verifizieren", um den Inhalt zu sehen. Dafür werden sie aufgefordert, ihre Handynummer auf der gefälschten Seite einzugeben.
  • Anschließend erscheint ein Zahlencode auf der Webseite, den die Nutzer bei WhatsApp eingeben sollen.

Was wie eine normale Zwei-Faktor-Authentifizierung wirkt, ist jedoch der Prozess, um ein neues Gerät mit dem WhatsApp-Konto zu verbinden. Nutzer werden ausgetrickst und geben dem Gerät des Angreifers unwissend Zugriff auf alle Nachrichten, Fotos und Kontakte. 

Fremde kapern WhatsApp-Konto: Betrug bleibt häufig unentdeckt

Die gefälschte Webseite ist mit der echten WhatsApp-Infrastruktur zur Gerätekopplung verknüpft. Gibt der Nutzer seine Handynummer ein, wird das automatisch an WhatsApp weitergeleitet, um die Geräteverknüpfung zu starten. WhatsApp generiert dafür einen achtstelligen Code, den man auf dem bestehenden Gerät eingeben soll. Das ist der Code, der auf der gefälschten Facebook-Seite als "Verifizierungscode" erscheint.

In seltenen Fällen nutzen die Kriminellen stattdessen einen QR-Code für die Verknüpfung ihres Geräts. Laut den Sicherheitsexperten von "Gen" sei das jedoch wenig praktikabel für die potenziellen Opfer. "Das Scannen eines QR-Codes, der auf dem Gerät angezeigt wird, das Sie gerade verwenden, ist bestenfalls umständlich und oft ohne einen zweiten Bildschirm, ein weiteres Smartphone oder ein Tablet gar nicht möglich", so die Forscher. Extremfälle, in denen dies in legitimen Kontexten vorkommt, seien zwar bekannt, "aber nichts worauf man einen Massenbetrug aufbauen würde".

Ist die Geräteverknüpfung abgeschlossen, haben die Angreifer vollständigen Zugriff auf WhatsApp-Chats, Medien und Kontakte. "Der Angriff bleibt häufig lange unentdeckt, da eine legitime Funktion der App ausgenutzt wird und WhatsApp normal weiterläuft", warnt das BSI.

Schutz gegen GhostPairing in den Einstellungen

Der Nutzer wird nicht ausgesperrt und erhält auch keinen weiteren Hinweis über das neue Gerät in WhatsApp. Die Sitzung auf dem Gerät der Angreifer bleibt so lange aktiv, bis sie manuell entfernt wird.

Wie kannst du dich also am besten vor GhostPairing schützen? Die Experten von "Gen" empfehlen, regelmäßig die verknüpften Geräte in den WhatsApp-Einstellungen zu prüfen.

  • Öffne WhatsApp und tippe auf die drei Punkte in der oberen rechten Ecke.
  • Tippe auf "Verknüpfte Geräte".
  • Es erscheint eine Liste der verknüpften Geräte und die Option, neue Geräte hinzuzufügen. (Ist kein weiteres Gerät mit deinem WhatsApp-Konto verbunden, erscheint nur Letzeres.)
  • Erscheint ein unbekanntes Gerät in der Liste, tippe den Namen an und gehe dann auf "Abmelden".

BSI erklärt: Das macht GhostPairing bei WhatsApp so gefährlich

Zudem solltest du bei Aufforderungen zur Codeeingabe oder QR-Code-Scans von externen Webseiten grundsätzlich misstrauisch sein, betont das BSI. 

Besonders kritisch ist, dass die Betrüger das gekaperte WhatsApp-Konto nutzen können, um neue Opfer zu finden. Sie können einfach die gleiche Locknachricht an alle Kontakte und Gruppen des Opfers senden. Wie ein Sprecher des BSI erklärt, bestehe die Gefahr zudem darin, dass die Betrüger Zugriff auf sensible Informationen erhalten. "Damit können sich Betrüger u.a. den hinterlegten Kontakten gegenüber glaubwürdig als Inhaber des jeweiligen Accounts ausgeben." Das BSI spricht dabei von Identitätsdiebstahl.

Umgekehrt können die Daten auch genutzt werden, um sich gegenüber dem Opfer als Freund oder Familienmitglied auszugeben. Die Betrüger können zum Beispiel ein neues Social-Media-Profil im Namen dieser Personen erstellen und das Opfer darüber kontaktieren. Die gestohlene Identität können Betrüger für verschiedenste kriminelle Zwecke nutzen:

  • Verbreitung von Phishing-Links oder Schadsoftware
  • Enkeltrick/ Vortäuschen einer Notsituation, um Geld einzufordern
  • Bestellungen in Online-Shops oder Abschließen von Abos

"Das endgültige Ziel der Angreifer ist dabei meist der finanzielle Gewinn", warnt ein Sprecher des BSI im Gespräch mit inFranken.de. GhostPairing missbrauche das Vertrauen der Nutzer, um vertrauliche Informationen abzugreifen. Um eine technische Schwachstelle bei WhatsApp handele es sich aber nicht.

Vorschaubild: © Ivi - Powerlightss/Adobe Stock (Symbolbild)