Der weltweit meistgenutzte Messenger-Dienst WhatsApp erlebt in Deutschland gerade eine Welle von Betrugsversuchen. So bedienen sich Angreifer bewährter Social-Engineering-Techniken, um Nutzerkonten per Verifizierungscode zu kapern und zu missbrauchen. Neben dem WhatsApp-Scam treten auch verstärkt Malware-Fälle auf. Nutzer müssen jetzt einige Dinge beachten, damit sie nicht zu Opfern werden.
Bereits vor zwei, drei Jahren versuchten in Brasilien und Spanien Cyberkriminelle, über die Handynummer auf WhatsApp-Konten zuzugreifen. Sie setzen bei diesen Angriffen auf Social-Engineering. Allgemein zielt diese Technik auf die soziale Schwachstelle eines Nutzers, der mit einem Trick dazu bewogen werden soll, reguläre Sicherheitsvorkehrungen zu umgehen und sensible Informationen preiszugeben.
Viele WhatsApp-Nutzer sind zudem verunsichert, seit WhatsApp seine Nutzungsbedingungen Anfang des Jahres geändert hat. Bei dem aktuellen WhatsApp-Scam, der nun auch deutsche Nutzer ins Visier nimmt, geht es um den Missbrauch eines Verifizierungscodes.
Zunächst stellt sich die Frage: Wann generiert WhatsApp einen Code, der zum Verifizieren benötigt wird? Die erste Voraussetzung hierfür ist der gesetzte Haken bei „Verifizierung in zwei Schritten” in den Einstellungen. In der Regel greift diese, wenn ein Nutzer sein Smartphone aufrüstet und seine Chats als Backup in der Cloud speichern will.
WhatsApp fragt dann nach der Verifizierung, wozu die Plattform einen 6-stelligen Code an die Handynummer des Nutzers per SMS sendet. Der Mechanismus ist sicher, solange man diese sechsstellige PIN niemandem weitergibt. Nur Freunde oder nahe Verwandte würden einen in Versuchung bringen, diesen Sicherheitsverstoß zu begehen.
So denken auch Cyberkriminelle, die einen bereits gekaperten WhatsApp-Account verwenden, um an die Kontaktdaten des potenziellen nächsten Opfers zu kommen. Sie schicken eine Nachricht von diesem Account mit der Aufforderung, den Verifizierungscode, der zuvor per SMS einging, per WhatsApp zu übermitteln.
Als Grund wird dann genannt, dass die SMS mit der sechsstelligen PIN aus Versehen an den falschen Nutzer gegangen sei. Zieht dieser kriminelle Trick, übernimmt der Hacker das WhatsApp-Konto. Er kann Spams verschicken, im Namen des Opfers um Geld bitten oder andere kriminelle Aktivitäten durchführen.
PIN niemals per WhatsApp teilen
Egal welcher Missbrauch stattfindet, die wichtigste Lehre lautet: Niemals den persönlichen Code per WhatsApp teilen. Zudem sollte jeder, der keinen Zugriff mehr auf sein Konto hat, sich noch einmal neu mit seiner Telefonnummer bei WhatsApp anmelden. Die Plattform schickt dann einen zweiten Code, den der betroffene Nutzer eingeben kann, wodurch WhatsApp den falschen Kontoinhaber abmeldet.
Hat der Hacker jedoch die Zwei-Faktor-Authentifizierung in den WhatsApp-Einstellungen aktiviert, muss der Original-Account-Besitzer einen zweiten Code eingeben, den nur der Hacker kennt. Erst nach sieben Tagen funktioniert das Anmelden ohne zweite PIN.
Schaden begrenzen
Sobald jemand aus seinem Konto ausgesperrt ist, sollte dieser seine Kontakte per SMS oder über einen anderen Messenger wie Signal oder Threema informieren und den Diebstahl des Accounts bei WhatsApp sowie der Polizei anzeigen. Wer die Aufforderungen zum Teilen des Codes über WhatsApp von Anfang an blockiert, muss hingegen mit weiteren Versuchen rechnen.
Nach der zwölften blockierten Nachricht sperrt WhatsApp aus Sicherheitsgründen den Zugriff auf die App für zwölf Stunden. Die Cyberkriminellen bitten dann per gefälschter E-Mail den WhatsApp-Support, die Telefonnummer wegen Handydiebstahl oder -verlust zu deaktivieren.
Weil der Nutzer dadurch wiederholt den Verifizierungscode abfragt, wird das Konto schließlich gesperrt. Grundsätzlich empfiehlt es sich, die Zwei-Faktor-Authentifizierung zu aktivieren, um es dem Hacker von Anfang an zu erschweren.
Pinkes WhatsApp und andere dubiose Links
Cyberkriminelle haben zudem die bewährte Masche mit dem Versprechen aktiviert, die Farbe von WhatsApp zu ändern, dieses Mal von grün zu rosa. „WhatsApp Pink“ kommt getarnt als App-Update – in einer .apk-Datei – und behauptet, diese neue Funktion einzuspielen. Kurz nach der Installation wird das Symbol aus dem App-Drawer versteckt.
Auch andere Phishing-Versuche per WhatsApp-Nachricht nach dem Motto „Diese Anwendung herunterladen und Smartphone gewinnen“ verbreiten sich momentan. Nach dem Klick wird eine Malware geladen, die sich über den Messaging-Dienst auf das ganze Handy ausweitet. Das Schadprogramm antwortet automatisch auf jede WhatsApp-Nachricht mit einem Link zu einer gefälschten und bösartigen App.
Wie Selbstschutz medienübergreifend funktioniert
Die aktuellen Cybercrime-Aktivitäten auf WhatsApp sollten Nutzer zum Anlass nehmen, bei unaufgeforderten und seltsamen Nachrichten innezuhalten:
- Eine unbekannte Person schreibt Ihnen: Kennen Sie diese Person oder diesen Kontakt? Betrüger setzen auf Vertrauen als Hauptmotivation.
- In der Nachricht ist ein Link: Welchen Vorteil haben Sie von einem Klick auf den Link? Und seit wann muss man auf eine Nachricht antworten, damit ein Link funktioniert?
- Welche Informationen können Sie teilen? Betrüger haben es auf persönliche Daten abgesehen, die später gegen Sie verwendet werden können. Kein seriöses Unternehmen wird Sie auffordern, Ihre Anmeldedaten, Kontodaten, Kreditkartennummern oder PINs zu schicken.
Die Grundregeln des Hinterfragens lassen sich auch bei dubiosen E-Mails anwenden. In Verdachtsfällen sollte man keinesfalls auf Links klicken. Zudem empfiehlt es sich, keine Apps außerhalb des offiziellen Google Play Stores und des Apple App Stores zu installieren.