Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer neuen Betrugsmasche, die auf WhatsApp-Nutzer abzielt. Die Rede ist vom sogenannten GhostPairing. Kriminelle nutzen dafür eine legitime Funktion des Messengers, die Geräteverknüpfung, um Zugriff auf dein Konto zu erhalten.

Forscher der Cybersicherheitsfirma "Gen" haben die Masche kürzlich aufgedeckt und einen Blog-Post darüber veröffentlicht. Der Betrug läuft in der Regel nach dem folgenden Schema ab.

WhatsApp-Betrug "GhostPairing": So erkennst du die neue Masche

  • Potenzielle Opfer erhalten eine Nachricht von einem bekannten Kontakt, die einen Link enthält. Zum Beispiel: "Hey, ich hab dein Foto gefunden [Link]"
  • Der Link führt zu einer Webseite, die wie Facebook aussieht - dabei handelt es sich um eine Fälschung.
  • Nutzer sollen zunächst ihre Handynummer "verifizieren", um den Inhalt zu sehen. Dafür werden sie aufgefordert, ihre Handynummer auf der gefälschten Seite einzugeben.
  • Anschließend erscheint ein Zahlencode auf der Webseite, den die Nutzer bei WhatsApp eingeben sollen.

Was wie eine normale Zwei-Faktor-Authentifizierung wirkt, ist jedoch der Prozess, um ein neues Gerät mit dem WhatsApp-Konto zu verbinden. Nutzer werden ausgetrickst und geben dem Gerät des Angreifers unwissend Zugriff auf alle Nachrichten, Fotos und Kontakte.

Die gefälschte Webseite ist mit der echten WhatsApp-Infrastruktur zur Gerätekopplung verknüpft. Gibt der Nutzer seine Handynummer ein, wird das automatisch an WhatsApp weitergeleitet, um die Geräteverknüpfung zu starten. WhatsApp generiert dafür einen achtstelligen Code, den man auf dem bestehenden Gerät eingeben soll. Das ist der Code, der auf der gefälschten Facebook-Seite als "Verifizierungscode" erscheint.

Fremde kapern dein WhatsApp-Konto: Betrug bleibt häufig unentdeckt

In seltenen Fällen nutzen die Kriminellen stattdessen einen QR-Code für die Verknüpfung ihres Geräts. Laut den Sicherheitsexperten von "Gen" sei das jedoch wenig praktikabel für die potenziellen Opfer. "Das Scannen eines QR-Codes, der auf dem Gerät angezeigt wird, das Sie gerade verwenden, ist bestenfalls umständlich und oft ohne einen zweiten Bildschirm, ein weiteres Smartphone oder ein Tablet gar nicht möglich. Wir alle kennen Extremfälle, in denen dies in legitimen Kontexten vorkommt, aber es ist nichts, worauf man einen Massenbetrug aufbauen würde", so die Forscher.

Ist die Geräteverknüpfung abgeschlossen, haben die Angreifer vollständigen Zugriff auf WhatsApp-Chats, Medien und Kontakte. "Der Angriff bleibt häufig lange unentdeckt, da eine legitime Funktion der App ausgenutzt wird und WhatsApp normal weiterläuft", warnt das BSI.

Der Nutzer wird nicht ausgesperrt und erhält auch keinen weiteren Hinweis über das neue Gerät in WhatsApp. Die Sitzung auf dem Gerät der Angreifer bleibt so lange aktiv, bis sie manuell entfernt wird. Besonders kritisch ist, dass die Betrüger das gekaperte WhatsApp-Konto nutzen können, um neue Opfer zu finden. Sie können einfach die gleiche Locknachricht an alle Kontakte und Gruppen des Opfers senden. 

So schützt du dich vor GhostPairing bei WhatsApp

Wie kannst du dich also am besten vor GhostPairing schützen? Die Experten von "Gen" empfehlen, regelmäßig die verknüpften Geräte in den WhatsApp-Einstellungen zu prüfen.

  • Öffne WhatsApp und tippe auf die drei Punkte in der oberen rechten Ecke.
  • Tippe auf "Verknüpfte Geräte".
  • Es erscheint eine Liste der verknüpften Geräte und die Option, neue Geräte hinzuzufügen. (Ist kein weiteres Gerät mit deinem WhatsApp-Konto verbunden, erscheint nur Letzeres.)
  • Erscheint ein unbekanntes Gerät in der Liste, tippe den Namen an und gehe dann auf "Abmelden".

Zudem solltest du bei Aufforderungen zur Codeeingabe oder QR-Code-Scans von externen Webseiten grundsätzlich misstrauisch sein.