Phishing-Masche ermöglicht Vollzugriff auf deinen WhatsApp-Account
5/12/2024
Eine SMS, die innerhalb eines bekannten SMS-Verlaufs erscheint, vermittelt Authentizität. Das kann auch ausgenutzt werden. Wer nicht aufpasst, kann Betrügern vollen Zugriff auf den eigenen WhatsApp-Account überlassen.
Betrugsmaschen im Internet gibt es viele. Wer nicht aufpasst, gibt dadurch schnell wichtige Passwörter an Betrüger und kann dadurch unter Umständen viel Geld verlieren. Beim sogenannten Phishing geben sich Kriminelle beispielsweise als seriöse Institutionen aus und verleiten das Opfer, ihnen sensible Informationen wie zum Beispiel Kreditkartendaten zu übermitteln. Nicht alle Methoden lassen sich leicht enttarnen. Sie funktionieren umso besser, je vertrauenswürdiger sie aussehen.
Auf Reddit postete ein User einen Screenshot aus einem deutschsprachigen SMS-Chatverlauf. Darauf ist ein an der Rechtschreibung leicht erkennbarer Phishing-Versuch zu sehen. Das Delikate daran: Die Nachricht wird im gleichen Chatverlauf angezeigt wie ältere echte SMS zur Zwei-Faktor-Authentifizierung für WhatsApp. Sprich: Die Nachricht wirkt so, als käme sie direkt von WhatsApp. Das verleiht der Nachricht Authentizität: Der vermeintliche Absender hat sich durch frühere Nachrichten ja bereits als vertrauenswürdig erwiesen.
Voller Zugriff auf den WhatsApp-Account ist möglich
In der SMS-Nachricht ist zu lesen, dass das WhatsApp-Konto des Empfängers gesperrt wird. Er solle den Vorgang auf einer externen Seite überprüfen. Gemäß Heise habe die inzwischen nicht mehr aktive Webseite den Eindruck vermittelt, eine seriöse WhatsApp-Seite zu sein.
Ein deutschsprachiger Chatbot habe den Besucher durch den «Überprüfungsprozess» geleitet, der aber tatsächlich dazu dient, Zugriff auf den WhatsApp-Account zu bekommen. Die Betrüger machten sich die reguläre WhatsApp-Kopplung zwischen Smartphone und Browser zunutze.
Die Kopplung dient eigentlich dazu, dass du dein WhatsApp-Konto auch im Browser nutzen kannst. Nach erfolgter Verknüpfung haben die Kriminellen vollständigen Zugriff auf das Konto: Sie können alle Nachrichten mitlesen und unter dem Namen des Opfers selbst welche verschicken – denn für WhatsApp gelten sie als Eigentümer des Accounts.
Damit ergeben sich zahlreiche Möglichkeiten für betrügerische Tricks. Es ließe sich etwa kompromittierendes Material sammeln. Die Schwindler könnten mit dem Account auch dessen Kontakte anschreiben und dadurch unter höchster Legitimität an weitere Daten gelangen.
Du kannst übrigens die mit deinem WhatsApp-Konto verknüpften Geräte überprüfen und gegebenenfalls löschen. Öffne WhatsApp auf deinem Smartphone. Tippe auf der Dreipunktmenü oben rechts und wähle «verknüpfte Geräte». Hier findest du die verbundenen Browser und wann WhatsApp zuletzt darin aktiv waren.
Vorsicht ist das A und O
Viele Phishing-Versuche lassen sich daran erkennen, dass die Nachrichten nicht in korrekter Rechtschreibung verfasst sind. Durch die Hilfe von KI werden die Texte jedoch immer besser und eine korrekte Rechtschreibung bedeutet nicht, dass es sich um eine legitime Nachricht handelt. Schau dir den Absender und seine Daten genau an, eine ausländische Vorwahl weist häufig auf einen Betrüger hin.
Auch bei Nachrichten von vermeintlichen Bekannten ist Vorsicht geboten. Schreibt die Person anders als sonst? Nutzt sie (andere) Emojis? Benötigt sie schnell Geld? Bist du dir unsicher, solltest du die entsprechende Person oder Institution auf anderem Weg kontaktieren und nachfragen.
Erhältst du Links, solltest du ganz genau prüfen, ob die URL korrekt ist und nicht etwa zusätzliche Buchstaben enthält.
Titelbild: Shutterstock/Tero Vesalainen
Fühlt sich vor dem Gaming-PC genauso zu Hause wie in der Hängematte im Garten. Mag unter anderem das römische Kaiserreich, Containerschiffe und Science-Fiction-Bücher. Spürt vor allem News aus dem IT-Bereich und Smart Things auf.