Code per SMS: Polizei warnt vor Whatsapp-Übernahme

Mit einem Trick versuchen Kriminelle, Whatsapp-Accounts zu übernehmen, warnt das LKA Niedersachsen.

Artikel veröffentlicht am ,
Um den Messenger Whatsapp im Namen anderer zu installieren, brauchen Kriminelle den sechsstelligen Registrierungscode.
Um den Messenger Whatsapp im Namen anderer zu installieren, brauchen Kriminelle den sechsstelligen Registrierungscode. (Bild: Indranil Mukherjee/AFP via Getty Images)

Kriminelle verschicken im Namen bereits gehackter Kontakte Nachrichten auf Whatsapp. Dort bitten sie um die Weiterleitung eines sechsstelligen Codes. Wer ihn weiterleitet, gibt den Kriminellen Zugriff auf sein Whatsapp-Konto.

Stellenmarkt
  1. Teamleiter Onsite Support (w/m/d)
    Bechtle Onsite Services GmbH, Neckarsulm
  2. Junior Strategieberater (w/m/d)
    Dataport, Altenholz bei Kiel, Bremen, Flensburg, Hamburg, Kiel
Detailsuche

"Hello sorry, ich habe dir versehentlich einen 6-stelligen Code per SMS geschickt. Kannst du ihn mir bitte weitergeben? Es eilt", heißt es nach Angaben des LKA in der Whatsapp-Nachricht, die über ein bereits zuvor gekapertes Whatsapp-Konto verschickt wurde. Kurze Zeit darauf folge eine SMS mit besagter sechsstelliger Zahlenfolge.

Die SMS stammt jedoch von Whatsapp und enthält einen sechsstelligen Registrierungscode für die Rufnummer, an die auch die SMS geschickt wurde. Wird der sechsstellige Code an die Kriminellen weitergegeben, können diese den Registrierungsprozess für die Rufnummer abschließen und das Whatsapp-Konto übernehmen.

Polizei empfiehlt Zwei-Faktor-Authentifizierung

Da Whatsapp auf eine konsequente Ende-zu-Ende-Verschlüsselung mit dem Signal-Protokoll setzt, können die Kriminellen die bisher ausgetauschten Nachrichten nicht einsehen, allerdings werden neue Nachrichten an sie zugestellt. Auch können sie von dem Whatsapp-Konto aus Nachrichten an beliebige Whatsapp-Nutzer verschicken.

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    07./08.02.2023, Virtuell
Weitere IT-Trainings

"Neben neuen (leider oft erfolgreichen) Versuchen, an weitere Accounts von Personen zu gelangen, ist die Verbreitung von Schadsoftware und Spam, aber auch Erpressung, Betrug (Zahlungscodes, Hilfe nach angeblichen Überfällen usw. erbitten) und die Teilnahme an Whatsapp-Gruppen mit illegalen Inhalten (z.B. Kinderpornografie) möglich", warnt das LKA. Zudem könnten die Täter weitere persönliche Daten im Namen des gehackten Kontos erfragen.

Der sechsstellige Code solle daher auf keinen Fall weitergegeben werden. Zudem schütze eine Zwei-Faktor-Authentifizierung die unter "Einstellungen, Account, Verifizierung in zwei Schritten" eingerichtet werde kann. Dort muss zunächst eine ebenfalls sechsstellige PIN hinterlegt werden, bei der es sich jedoch nicht um besagten Registrierungscode handelt. Anschließend kann eine E-Mail-Adresse hinterlegt werden.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Nun kann Whatsapp nur noch mit der Angabe der hinterlegten PIN oder einer Verifizierungs-E-Mail an die hinterlegte E-Mail-Adresse registriert werden. Wurde der Registrierungscode an die Kriminellen weitergegeben, sollte umgehend die Zwei-Faktor-Authentifizierung aktiviert und das Whatsapp-Konto neu registriert werden.

Masche funktioniert auch bei anderen Messengern

Der Social-Engineering-Angriff dürfte auf ähnliche Weise auch mit anderen Messengern funktionieren. Im Falle von Messengern wie Telegram, die im Unterschied zu Whatsapp, Signal oder Threema nicht auf eine konsequente Ende-zu-Ende-Verschlüsselung setzen und obendrein die Konversationen in der Cloud speichern, sind die Folgen drastischer. Hier können die Eindringlinge nicht nur Nachrichten schreiben, sondern auch den bisherigen Nachrichtenverlauf einsehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gaym0r 14. Jun 2021

Das macht das BKA bereits jetzt. Absolut problemlos, auch ohne Staatstrojaner. https...

marcel151 13. Jun 2021

Da dachtest du wohl falsch. Der Großteil der Deutschen nutzt WhatsApp. Zumindest bei...

Niaxa 12. Jun 2021

Und woher hat er die Nummer von Oma? Wenn die nicht in seinem Handy ist, bekommt er die...

senf.dazu 12. Jun 2021

als jeder Bundestrojaner um sich irgendwo einzuschleichen. Wieso halten die...



Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /