WhatsApp ist eher streng geführt und nicht sonderlich frei wie frühere PC-Messenger, dennoch gibt es Angriffspunkte.

WhatsApp ist bei Milliarden von Smartphone-Nutzern beliebt und daher natürlich auch ein beliebtes Angriffsziel. Eigentlich kann über WhatsApp wenig passieren, ihr könnt fremden Kontakten zumindest eure Konto-Informationen vorenthalten und einfach zu knacken ist WhatsApp genauso wenig. Es gibt aber trotzdem einige fiese Tricks, die uns mächtig nerven und worauf zumindest ein Teil der Leute reinfallen könnte.

Da wären einerseits die „Scary Messages“, mit denen WhatsApp zum Absturz gebracht werden kann. Eine sehr lange, aber willkürliche Zeichenfolge wird von der App derart falsch interpretiert, dass sie einfach abstürzt. Je nach Smartphone kann das komplette System überlasten, das Gerät und nicht nur WhatsApp stürzt ab. In einigen Ländern haben Nutzer von einem regelrechten Trend berichtet, derartige Nachrichten zu empfangen.

So werden WhatsApp-Konten gestohlen: Phishing nach dem SMS-Code

WhatsApp-Konten werden üblicherweise nur mit Telefonnummer und einmaligem Zahlencode erstellt. Es gibt kein Passwort, wie das sonst bei den meisten Internetdiensten üblich ist. Wo kein Passwort vorhanden ist, kann auch keins gestohlen werden. Noch schwieriger wird der Diebstahl zumindest theoretisch, weil die SIM-Karte mit der registrieren Rufnummer nur in eurem Smartphone steckt. Was erst mal sicher wirkt, kann eben doch umgangen werden. Aber eigentlich nie ohne eure direkte Hilfe.

Es lässt sich auf einem Smartphone nämlich jede Rufnummer registrieren, die dazugehörige SIM-Karte muss nicht tatsächlich im Gerät eingelegt sein. Deshalb könnt ihr WhatsApp auf eurem Gerät auch ohne SIM weiternutzen. Es braucht zur Registrierung nur den SMS-Code, der ebenfalls ohne SIM-Verfügbarkeit eingegeben werden kann. Jedenfalls ermöglichen diese Umstände das sogenannte Phishing, um WhatsApp-Konten aus der Ferne zu kapern.

Neue Top-Funktion: WhatsApp und die mysteriöse Uhr am Profilbild

Phishing-Methode per freundlicher Nachricht

Bei aktuellen Methoden werden Rufnummern wohl durch Zufall gewählt, deren WhatsApp-Konten gestohlen werden sollen. Der Angreifer löst eine Registrierungsanfrage bei WhatsApp aus. Zeitgleich kommt eine SMS an die Rufnummer des Opfers mit der Bitte, den von WhatsApp für die Registrierung erhalten SMS-Code weiterzuleiten. Reagiert der betroffene Nutzer wie gewünscht, kann der Angreifer das jeweilige WhatsApp-Konto auf einem eigenen Gerät anmelden und damit auf dem Smartphone des Opfers abmelden.

„Hey! Kannst du mir kurz helfen?

Du bekommst gleich eine SMS. Kannst du mir den Code in der Nachricht weiterschicken?“

Seid ihr schnell genug, kann das eigene Konto über eine neue Registrierung am eigenen Smartphone wiedergeholt werden. Noch bevor es der Angreifer löscht oder etwa auf eine eigene Rufnummer umzieht. Denn entscheidend ist weiterhin, dass der notwendige SMS-Code erst mal nur direkt an eurer SIM-Karte ankommt. Aber es lässt sich auch anders vorbeugen, nämlich mit einer Zwei-Faktor-Authentifizierung, damit der Angreifer den SMS-Code und zusätzlich einen von euch personalisierten PIN benötigt.

Google, Amazon, WhatsApp, etc. doppelt absichern (Zweistufige-Authentifizierung)

Denny Fischer

Gründer Smartdroid.de, bloggt seit 2008 täglich über Smartphones, Android und ähnliche Themen.