Wer WhatsApp das erste Mal auf einem neuen Smartphone installiert, muss die App mit einem Code freischalten, den man per SMS erhält. So legitimiert man sich gegenüber dem Messenger-Anbieter als Eigentümer des Kontos. Diese Verifizierung ist grundsätzlich eine gute Sache, allerdings nutzen Angreifer die Arglosigkeit vieler Nutzer aus, um sie genau mit dieser Sicherheitsfunktion zu überlisten.
WhatsApp-Hacker kapern fremde Konten
Hacker versuchen WhatsApp auf dem eigenen Smartphone mit der Telefonnummer eines potenziellen Opfers freizuschalten. Da die SMS mit dem Verifizierungscode beim Angegriffenen landet, schicken sie diesem über ein gekapertes WhatsApp-Konto eines dritten Nutzers eine Nachricht mit der Bitte, den Code weiterzuleiten. Kommt dieser der Aufforderung nach, übernehmen die Angreifer die Kontrolle über den WhatsApp-Account.
Ist es dafür zu spät und der Angreifer hat Ihr Konto offenbar schon übernommen, sollten Sie versuchen, es wiederherzustellen. Melden Sie sich mit Ihrer Handynummer wieder bei WhatsApp an und geben Sie die PIN ein, die Sie daraufhin per SMS erhalten. Sofern Sie die “Verifizierung in zwei Schritten” aktiviert haben, geben Sie nun noch die sechsstellige PIN ein, die Sie dafür vergeben hatten. Nun sollten Sie Ihren Account wieder übernommen haben.
WhatsApp-Sperre durch wiederholte Attacken
Doch selbst wenn man nicht auf die dubiose Nachricht eines fremden Kontakts reagiert – was man ohnehin nicht tun sollte –, kann es passieren, dass man ausgesperrt wird. Denn wenn der Verifizierungscode zwölfmal angefordert wird, sperrt WhatsApp das Konto für zwölf Stunden.
Was die Hacker mit einem gekaperten Konto anstellen können, ist recht vielseitig. Das Landeskriminalamt Niedersachsen warnt davor, dass die Täter beispielsweise in Ihrem Namen weitere Konten übernehmen, Schadsoftware verbreiten, Betrugsdelikte durchführen oder illegale Inhalte wie Kinderpornos verbreiten könnten.
Gegenmaßnahmen: Was tun bei einem Angriff?
Erhalten Sie unaufgefordert eine Nachricht – sei es per WhatsApp, E-Mail, Telefon oder auf anderem Wege –, stellen Sie sich die folgenden Fragen:
- Eine unbekannte Person schreibt mich an: Kenne ich diese Person oder diesen Kontakt? Betrüger setzen auf Vertrauen als Haupt-Motivator.
- In der Nachricht ist ein Link: Was würde Ihnen ein Klick auf den Link bringen? Und seit wann muss man auf eine Nachricht antworten, damit ein Link funktioniert?
- Welche Informationen kann ich teilen? Betrüger haben es auf persönliche Daten abgesehen, die später gegen Sie verwendet werden können. Kein seriöses Unternehmen wird Sie auffordern, Ihre Anmeldedaten, Kontodaten, Kreditkartennummern oder PINs zu schicken.
- Konto temporär gesperrt: Hat WhatsApp den Zugriff auf die App gesperrt und Sie wissen nicht warum? Nehmen Sie sofort Kontakt zum Support auf.
- Auf anderem Wege (E-Mail, Telefon etc.) den Bekannten informieren, dessen Konto für die Nachricht an Sie offensichtlich übernommen wurde.
- “Verifizierung in zwei Schritten” aktivieren (nicht nur in WhatsApp, sondern in allen Apps und auf allen Webseiten, die diese so genannte Zwei-Faktor-Authentifizierung anbieten).