Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & StackSecurityWirtschaftEnergie & KlimaHardware

Code per SMS: Polizei warnt vor Whatsapp-Übernahme

Mit einem Trick versuchen Kriminelle, Whatsapp -Accounts zu übernehmen, warnt das LKA Niedersachsen.
/ Moritz Tremmel
30 Kommentare News folgen (öffnet im neuen Fenster)
Um den Messenger Whatsapp im Namen anderer zu installieren, brauchen Kriminelle den sechsstelligen Registrierungscode. (Bild: Indranil Mukherjee/AFP via Getty Images)
Um den Messenger Whatsapp im Namen anderer zu installieren, brauchen Kriminelle den sechsstelligen Registrierungscode. Bild: Indranil Mukherjee/AFP via Getty Images

Kriminelle verschicken im Namen bereits gehackter Kontakte Nachrichten auf Whatsapp. Dort bitten sie um die Weiterleitung eines sechsstelligen Codes. Wer ihn weiterleitet, gibt den Kriminellen Zugriff auf sein Whatsapp-Konto.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Mitarbeiter*in IT-Service (m/w/d) Hochschule Hamm-Lippstadt, Hamm,Lippstadt (öffnet im neuen Fenster)
IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Bauprojektmanager / Projektleiter als Bauherrenvertretung für Sonderprojekte / KI-Campus (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
(Senior) ServiceNow Platform Engineer (m/w/d) 1 Schwarz IT, Neckarsulm (öffnet im neuen Fenster)
Trainer:in Digital Content Engineer mit Schwerpunkt KI (m/w/d) WBS TRAINING Trainer:in Honorar, Berlin (öffnet im neuen Fenster)
Technischer Projektmanager luftgestützte Aufklärung (w/m/d) Hensoldt, Ulm (öffnet im neuen Fenster)
BIM Koordinator (m/w/d) HOCHTIEF Infrastructure GmbH, Frankfurt am Main (öffnet im neuen Fenster)
Machinist KHS USA Inc., Berlin (öffnet im neuen Fenster)

"Hello sorry, ich habe dir versehentlich einen 6-stelligen Code per SMS geschickt. Kannst du ihn mir bitte weitergeben? Es eilt," heißt es nach Angaben des LKA in der Whatsapp-Nachricht, die über ein bereits zuvor gekapertes Whatsapp-Konto verschickt wurde. Kurze Zeit darauf folge eine SMS mit besagter sechsstelliger Zahlenfolge.

Die SMS stammt jedoch von Whatsapp und enthält einen sechsstelligen Registrierungscode(öffnet im neuen Fenster) für die Rufnummer, an die auch die SMS geschickt wurde. Wird der sechsstellige Code an die Kriminellen weitergegeben, können diese den Registrierungsprozess für die Rufnummer abschließen und das Whatsapp-Konto übernehmen.

Polizei empfiehlt Zwei-Faktor-Authentifizierung

Da Whatsapp auf eine konsequente Ende-zu-Ende-Verschlüsselung mit dem Signal-Protokoll setzt, können die Kriminellen die bisher ausgetauschten Nachrichten nicht einsehen, allerdings werden neue Nachrichten an sie zugestellt. Auch können sie von dem Whatsapp-Konto aus Nachrichten an beliebige Whatsapp-Nutzer verschicken.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

"Neben neuen (leider oft erfolgreichen) Versuchen, an weitere Accounts von Personen zu gelangen, ist die Verbreitung von Schadsoftware und Spam, aber auch Erpressung, Betrug (Zahlungscodes, Hilfe nach angeblichen Überfällen usw. erbitten) und die Teilnahme an Whatsapp-Gruppen mit illegalen Inhalten (z.B. Kinderpornografie) möglich," warnt das LKA(öffnet im neuen Fenster) . Zudem könnten die Täter weitere persönliche Daten im Namen des gehackten Kontos erfragen.

Der sechsstellige Code solle daher auf keinen Fall weitergegeben werden. Zudem schütze eine Zwei-Faktor-Authentifizierung(öffnet im neuen Fenster) die unter "Einstellungen, Account, Verifizierung in zwei Schritten" eingerichtet werde kann. Dort muss zunächst eine ebenfalls sechsstellige PIN hinterlegt werden, bei der es sich jedoch nicht um besagten Registrierungscode handelt. Anschließend kann eine E-Mail-Adresse hinterlegt werden.

Reklame

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Jetzt bestellen bei Amazon (öffnet im neuen Fenster)

Nun kann Whatsapp nur noch mit der Angabe der hinterlegten PIN oder einer Verifizierungs-E-Mail an die hinterlegte E-Mail-Adresse registriert werden. Wurde der Registrierungscode an die Kriminellen weitergegeben, sollte umgehend die Zwei-Faktor-Authentifizierung aktiviert und das Whatsapp-Konto neu registriert werden.

Masche funktioniert auch bei anderen Messengern

Der Social-Engineering-Angriff dürfte auf ähnliche Weise auch mit anderen Messengern funktionieren. Im Falle von Messengern wie Telegram, die im Unterschied zu Whatsapp, Signal oder Threema nicht auf eine konsequente Ende-zu-Ende-Verschlüsselung setzen und obendrein die Konversationen in der Cloud speichern, sind die Folgen drastischer. Hier können die Eindringlinge nicht nur Nachrichten schreiben, sondern auch den bisherigen Nachrichtenverlauf einsehen.

Zur Startseite 30 Kommentare

Relevante Themen

Mobile EndgeräteToolsPolitikSecurityVerschlüsselungCybercrime2-FASocial EngineeringDatensicherheit