Betrugsmaschen über WhatsApp gibt es einige. Doch diese verlangen in der Regel einen Freiwilligen aus dem Publikum, der seinen Part und zeitgleich den Betrügern in die Hände spielt. Beispielsweise, indem der Empfänger einer Phishing-Nachricht über WhatsApp auf ebenjene eingeht. Doch diesmal muss und sollte das potenzielle Opfer nicht auf die Avancen der Cyberkriminellen eingehen, damit die Masche erfolgreich ist. Doch wie funktioniert das genau?
Im Schlaf gehackt – WhatsApp-Masche im Überblick
Kriminelle haben einen Weg gefunden, dein WhatsApp-Konto zu stehlen, ohne jegliche Beteiligung deinerseits. Nach Angaben des Sicherheitsforschers Zuk Avraham treten die Betrüger nachts in Aktion, während der Kontoinhaber schläft. In einem ersten Schritt versuchen sie, deine Telefonnummer auf einem neuen Smartphone zu registrieren. Zu diesem Zweck wird ein Bestätigungscode per SMS an die Telefonnummer des Opfers gesandt, welche dieser nachts ignorieren dürfte. Anschließend wählen die Kriminellen die Möglichkeit, sich telefonisch zu verifizieren. Es erfolgt ein Anruf auf die Nummer des Kontoinhabers, welchen viele ebenfalls nicht bemerken, da Smartphones in der Nacht oftmals stumm geschaltet sind. Also macht WhatsApp genau das, was jeder Anrufer tun würde: Es spricht den Code auf die Mailbox.
Nun folgt der letzte Schritt: Die Kriminellen hören die Mailbox ab und kommen so in den Besitz des PIN-Codes, den sie zur Aktivierung des WhatsApp-Kontos auf einem anderen Gerät benötigen. Wie? Laut Avraham verwenden zahlreiche Anbieter die letzten vier Ziffern der Rufnummer als PIN-Code für die Mailbox. Diese werden aus Bequemlichkeit oftmals nicht verändert. Andere Nutzer dürften derweil oftmals leichte Kombinationen wie etwa 0000 oder 1234 verwenden. Das belegen auch diverse Studien in Bezug auf Passwörter. Somit sind zahlreiche Anrufbeantworter nur marginal geschützt und öffnen Cyberkriminellen die Tore – diesmal zu WhatsApp.
Ist das Konto geknackt, können die Kriminellen eine sogenannte Zwei-Faktor-Authentifizierung (2FA) einrichten. Diese verhindert, dass du dein Konto zurückerlangst und zwingt dich dazu, den langwierigen Weg über eine Wiederherstellung des Kontos ohne 2FA-Code zu gehen. Und dieser beinhaltet eine obligatorische Wartezeit von sieben Tagen.
Wozu das Ganze und wie kann man sich schützen?
Deine Konten stellen online eine Art inoffiziellen Pass dar. Erhält jemand eine Nachricht von deinem WhatsApp-Konto, geht er davon aus, diese stamme von dir. Daher zeigt sich besagte Person vertrauenswürdig und klickt gerne auf einen von dir verschickten Link oder unterstützt dich finanziell. Doch da sich der Eigentümer des Kontos geändert hat, könnte sich hinter der Verlinkung eine Phishing-Masche oder ein Trojaner-Virus verbergen, während das Geld selbstverständlich nicht auf deinem Konto, sondern auf dem der Cyberkriminellen landet – und ward nicht mehr gesehen.
Möchtest du dieses Szenario verhindern, solltest du zunächst eine seriöse Mailbox-PIN festlegen. Ferner empfiehlt es sich, WhatsApps Zwei-Faktor-Authentifizierung selbst einzurichten, bevor es die Identitätsdiebe tun können. Sollte es hierfür bereits zu spät sein und du musst sieben Tage lang warten, dann gibt es nur noch eines zu tun: Sämtliche WhatsApp-Kontakte über die Account-Übernahme und die damit einhergehende Gefahr in Kenntnis setzen.
mailbox wie immer aus. Game Over