Neue Sicherheitswarnung für WhatsApp-Nutzeri:innen: Offenbar ist es sehr leicht für Hacker, dein WhatsApp-Konto zu sperren und es dann zu „entführen“. So funktioniert der Betrug.
WhatsApp-Nutzer:innen müssen sich auf eine neue Gefahr in dem Messengerdienst gefasst machen. Wie das Magazin Forbes entdeckt hat, gibt es nämlich einen sehr einfachen Trick für Hacker, um dein WhatsApp-Konto zu sperren und es anschließend zu missbrauchen.
WhatsApp-Konto sperren: So funktioniert der Betrug
Es waren die beiden Forscher Luis Márquez Carpintero und Ernesto Canales Pereña, die den Forbes-Autoren Zak Doffmann auf die Sicherheitslücke aufmerksam machten.
Dabei können Hacker aus der Ferne ein WhatsApp-Konto sperren und du merkst es erst, wenn dein Messengerdienst auf deinem Smartphone plötzlich nicht mehr funktioniert. Selbst die angeblich so sichere Zwei-Faktor-Verifizierung kann damit umgangen werden.
Der Angriff erfordert zwar etwas Geduld, aber keine besonderen IT-Kenntnisse, was ihn so gefährlich macht.
So läuft der Angriff Schritt für Schritt ab.
1. Du erhältst seltsame Bestätigungscodes
Wenn du dein WhatsApp-Konto auf einem neuen Smartphone installieren möchtest, bekommst du einen SMS-Code zugeschickt und musst anschließend per Zwei-Faktor-Verifizierung deinen Passcode angeben.
In dem von den Forschern beschriebenen Angriff tun Hacker genau das. Sie registrieren deine Telefonnummer auf einem neuen Handy.
Woher haben sie deine Nummer? Jede Person, die WhatsApp nutzt, wird automatisch Teil des „Discovery-Systems“ der App. Das heißt, dass deine Nummer von anderen Nutzer:innen entdeckt werden kann.
Alles, was jemand tun muss, ist eine beliebige Telefonnummer eingeben, um so herauszufinden, ob sie bei WhatsApp registriert ist.
Damit haben die Hacker also die wichtige erste Information für ihren Angriff: deine Nummer.
Wenn sie diese also auf einem neuen Gerät installieren wollen, schickt WhatsApp dir Bestätigungscodes. Du wunderst dich über diese, kannst damit aber eigentlich nichts anfangen. In der Regel wirst du sie dann einfach als seltsames Verhalten abtun und ignorieren.
Auf der anderen Seite geben die Hacker dann aber wiederum fehlerhafte Codes ein. Das hat zur Folge, dass dein WhatsApp-Konto vorübergehend zwölf Stunden lang gesperrt wird.
2. Hacker schicken WhatsApp Email mit deiner Nummer
Der nächste Teil des Angriffs besteht dann darin, dass die Hacker von einer eigenen E-Mail-Adresse aus eine Nachricht an WhatsApp schicken, ein gestohlenes Konto melden und WhatsApp darum bitten, das Konto (dein Konto) zu deaktivieren.
WhatsApp mag als Bestätigung nochmals nach deiner Telefonnummer fragen, die die Hacker ja schicken können.
Mehr Überprüfung gibt es an der Stelle nicht. WhatsApp denkt also, deine Nummer gehöre zu einem gestohlenen Konto, woraufhin dein WhatsApp-Konto gesperrt wird.
Erst in diesem Moment merkst du, dass deine App nicht mehr funktioniert.
3. Du versuchst deine Nummer zu verifizieren – und es klappt nicht
WhatsApp schickt dir dann sogar eine automatisierte Nachricht und teilt dir mit, dass die Nummer nicht mehr länger auf diesem Telefon registriert sei. Soweit WhatsApp weiß, hast du ja eine Mail geschickt mit der Bitte dein WhatsApp-Konto zu sperren.
Du bekommst dann noch die Möglichkeit, deine Nummer zu verifizieren, falls die Sperrung nicht beabsichtigt gewesen sei.
Jetzt versuchst du natürlich deine Nummer zu bestätigen und lässt dir einen SMS-Code schicken. Dieser kommt aber nicht an, weil die Hacker bereits alle Verifizierungsversuche aufgebraucht haben.
Selbst wenn du jetzt versuchst mit den seltsamen Aktivierungscodes deine Nummer zu bestätigen, wird die App dir sagen, dass du keine Versuche mehr hast. Du musst also theoretisch die zwölf Stunden warten, um dein Konto wieder zu entsperren.
Theoretisch. Praktisch kann aber auch etwas anderes passieren.
4. WhatsApp-Konto sperren: Und du kannst nichts tun
Denn theoretisch müssen die Hacker die Sperrungsmail an WhatsApp nicht sofort losschicken. Sie können einfach zwölf Stunden warten und dann wieder das gleiche Spiel starten, um deine Handynummer auf ihrem Gerät zu registrieren.
Du bekommst wieder Pin-Codes, mit denen du nichts anfangen kannst.
Wenn die Hacker dies dreimal tun, scheint WhatsApp zusammenzubrechen, haben die Forscher in ihrem Selbstversuch festgestellt.
Sie erhielten die Nachricht: „Sie haben es zu oft versucht, probieren Sie es nochmals nach einer Sekunde.“
Anstatt einer zwölfstündigen Sperre, gibt es nun aus unerfindlichen Gründen nur noch eine Sekunde Wartezeit.
Wenn die Angreifer:innen jetzt eine E-Mail an WhatsApp schicken, hast du keine Zeit mehr irgendetwas zu registrieren oder zu prüfen, bevor du aus der App geschmissen wirst.
Was haben Hacker davon, dein WhatsApp-Konto zu sperren?
Abgesehen von der Tatsache, dass es natürlich extrem ärgerlich ist, wenn du plötzlich einen wichtigen Kommunikationskanal verlierst, können Hacker mit diesem Trick deine Nummer „entführen“ und dann zum Beispiel nutzen, um dich zu erpressen. Nach dem Motto: Zahle uns Betrag X und wir aktivieren deine Nummer wieder für dich.
Es ist durchaus bedenklich, dass dieser Angriff eigentlich nur Zeit und Geduld erfordert, aber keine speziellen IT-Kenntnisse. Diese Sicherheitslücke kann somit zwei Milliarden WhatsApp-Nutzer angreifbar machen, und das, ohne dass sie es merken.
Auf Nachfrage der Forscher, gab WhatsApp zu, dass diese Lücke bestehe. Das Unternehmen sagte aber auch: Jeder, der den Trick versuche, verstoße gegen die AGB. Ob das Hacker davon abhält, ihn anzuwenden, ist zweifelhaft.
Gleichzeitig gebe es bei WhatsApp keine Pläne die Lücke zu schließen, obwohl dies eigentlich sehr einfach möglich sei, wie die Forschergruppe gegenüber Forbes sagte.
Was kannst du tun, um dich zu schützen?
Es gibt die Möglichkeit, bei der Zwei-Faktor-Verifizierung eine E-Mail mit anzugeben. In dem Fall wäre es für Hacker nicht so einfach, mit einer falschen Mail-Adresse deine Nummer zu „entführen“.
Gleichzeitig ist jetzt auch klar: Wenn du verdächtige Sicherheits-Codes für WhatsApp bekommst, könnte es sich dabei um einen solchen Angriff handeln, um dein WhatsApp-Konto zu sperren. Wende dich in dem Fall unmittelbar an den Kundenservice von WhatsApp.
Alternative Nummer drei? Du könntest natürlich generell einen anderen Messengerdienst wählen, bei dem die Sicherheitsmaßnahmen von Anfang an höher sind, wie etwa Signal. Ein Dienst, den übrigens auch Facebook-Chef Mark Zuckerberg selbst nutzt.
Auch interessant:
