WhatsApp: Account-Diebstahl mit 6-stelligem Code. Fallen Sie nicht darauf herein!

Auf WhatsApp kursiert eine gefährliche Betrugsmasche: Kriminelle versuchen, Ihren sechsstelligen Verifizierungscode zu erbeuten, um Ihr Konto zu kapern und auf Ihre Daten zuzugreifen. Wir erklären, wie sie vorgehen und welche Maßnahmen dringend zu ihrer Verhinderung erforderlich sind.

Der sechsstellige WhatsApp-Verifizierungscode ist eine grundlegende Sicherheitsmaßnahme. Er wird Ihnen per SMS oder Anruf zugesandt, wenn Sie Ihr Konto auf einem neuen Gerät registrieren, um Ihre Identität zu bestätigen. Dieses Tool ist jedoch auch das Ziel eines raffinierten Betrugs: Cyberkriminelle versuchen, Sie zur Preisgabe dieses Codes zu verleiten und Ihre Nummer dann auf ihrem Gerät zu registrieren, wodurch Ihr Konto gekapert wird.

Der WhatsApp-Betrug mit dem 6-stelligen Code läuft in drei Phasen ab und kombiniert Technologie und Social Engineering:

• Schritt 1: Betrügerischer Registrierungsversuch: Der Betrüger erhält Ihre Nummer (durch Leaks, Verzeichnisse oder zufällig) und gibt sie in eine neue WhatsApp-Installation auf seinem Telefon ein. Dadurch sendet WhatsApp eine SMS mit dem 6-stelligen Code an Ihr Gerät. Sie erhalten diesen Code, ohne etwas initiiert zu haben.
• Schritt 2: Der betrügerische Kontakt (Social Engineering): Mithilfe des gesendeten Codes kontaktiert Sie der Betrüger per WhatsApp (von einem kompromittierten oder neuen Konto), SMS oder Telefonanruf. Er gibt sich als einer der folgenden Personen aus:
  • Ein Freund oder Familienmitglied behauptet, bei der Registrierung seines WhatsApp sei ein „Fehler“ aufgetreten und bittet Sie dringend, ihm den Code, der „an Ihr Telefon gesendet wurde“, erneut zu senden.
  • WhatsApp-Support: Es wird behauptet, ein Sicherheitsproblem oder verdächtige Aktivitäten erkannt zu haben, und ein Code wird angefordert, um „Ihre Identität zu bestätigen“ oder „Ihr Konto zu sichern“.
  • Jemand bietet einen Preis oder eine Werbeaktion an: Sie werden darüber informiert, dass Sie etwas gewonnen haben oder Anspruch auf ein Angebot haben und dass Sie den erhaltenen Code weitergeben müssen, um Ihren Preis zu „validieren“.
• Die Botschaft soll immer Dringlichkeit, Vertrauen oder Autorität erzeugen.
• Schritt 3: Code-Übermittlung und Account-Hijacking: Wenn Sie auf den Betrug hereinfallen und den Code weitergeben, gibt der Betrüger ihn in sein WhatsApp-Konto ein. Da es der richtige Code ist, wird Ihr Konto auf seinem Gerät aktiviert. Ihre WhatsApp-Sitzung auf Ihrem Telefon wird sofort abgemeldet, da nur eine aktive Sitzung pro Nummer zulässig ist. Sie haben die Kontrolle verloren.

WhatsApp wird Sie niemals nach Ihrem Bestätigungscode fragen. Behandeln Sie ihn wie ein Passwort und halten Sie ihn vertraulich. – Wichtiger Sicherheitstipp.

Sobald ein Betrüger die Kontrolle über Ihr WhatsApp-Konto erlangt, können die Folgen schwerwiegend sein:

• Zugriff auf Nachrichten und Kontakte: Sie können Ihre privaten und Gruppenchats (neue Nachrichten) lesen und haben vollen Zugriff auf Ihre Kontaktliste.
• Phishing: Der Betrüger sendet möglicherweise Nachrichten an Ihre Freunde, Familie und Kollegen und gibt sich dabei als Sie aus, um:
  • Dringend um Geld bitten, Notfälle erfinden.
  • Verbreitung von Falschmeldungen, Gerüchten oder schädlichen Links (Malware, Phishing ).
  • Versuchen Sie, unter Ausnutzung Ihrer Glaubwürdigkeit weitere Codes oder vertrauliche persönliche Informationen von Ihren Kontakten zu erhalten.
• Erpressung: Wenn Ihre Gespräche kompromittierende Informationen, intime Fotos oder vertrauliche Daten enthalten, droht der Betrüger möglicherweise damit, diese preiszugeben, wenn Sie seinen Forderungen (normalerweise finanzieller Natur) nicht nachkommen.
• Sperrung Ihres Zugriffs: Solange der Betrüger das Konto kontrolliert, können Sie Ihr eigenes WhatsApp nicht verwenden.

Sie können Ihr WhatsApp-Konto schützen, indem Sie die folgenden Sicherheitsrichtlinien befolgen:

• Geben Sie Ihren 6-stelligen Verifizierungscode NIEMALS weiter: Er ist der Grundstein Ihrer Verteidigung. Weder WhatsApp noch ein seriöses Unternehmen wird ihn per SMS, E-Mail oder Telefonanruf anfordern. Er ist persönlich und nicht übertragbar.
• Aktivieren Sie die Zwei-Schritt-Verifizierung (DRINGEND): Dies ist der effektivste Weg, Ihr Konto zu schützen.
  • Was ist das?: Erhöhen Sie Ihre Sicherheit mit einer selbst erstellten sechsstelligen PIN. WhatsApp fragt Sie regelmäßig danach, insbesondere jedes Mal, wenn Sie versuchen, Ihre Nummer auf einem neuen Gerät zu registrieren – zusätzlich zum SMS-Code.
  • So aktivieren Sie die Funktion: Öffnen Sie WhatsApp und gehen Sie zu „Einstellungen“ > „Konto“ > „Zwei-Schritt-Verifizierung“ > „Aktivieren“. Erstellen Sie Ihre PIN und geben Sie eine E-Mail-Adresse an, um sie wiederherzustellen, falls Sie sie vergessen.
  • Warum es wichtig ist: Selbst wenn ein Betrüger Ihren SMS-Code erhält, kann er Ihr Konto ohne diese PIN, die nur Sie kennen sollten, nicht aktivieren.
• Seien Sie vorsichtig bei verdächtigen und unerwünschten Nachrichten:
  • Sollten Sie eine unerwünschte SMS mit einem WhatsApp-Verifizierungscode erhalten, ignorieren Sie diese. Dies ist ein eindeutiges Zeichen für einen versuchten Zugriff. Antworten Sie nicht auf Nachrichten, in denen dieser Code angefordert wird.
  • Wenn ein sogenannter „Freund“ oder „Familienmitglied“ Sie nach einem Code fragt, der „irrtümlicherweise an Ihre Nummer gesendet wurde“, überprüfen Sie seine Identität über einen anderen, sicheren Kanal, bevor Sie etwas unternehmen. Rufen Sie die bekannte Nummer an oder kontaktieren Sie den Empfänger über ein anderes soziales Netzwerk. Seien Sie besonders vorsichtig, wenn die Nachricht von einer unbekannten Nummer stammt, Sie zum schnellen Handeln drängt oder der Ton ungewöhnlich bedrohlich oder flehend klingt.
• Überprüfen Sie verknüpfte Geräte regelmäßig:
  • WhatsApp ermöglicht es Ihnen, Ihr Konto mit WhatsApp Web oder Desktop zu verknüpfen. Überprüfen Sie diese Liste regelmäßig: Gehen Sie in WhatsApp zu „Einstellungen“ > „Verknüpfte Geräte“. Wenn Sie etwas Unbekanntes sehen, melden Sie sich sofort ab.
• Legen Sie ein sicheres Passwort für Ihre Voicemail fest: Manche Betrüger versuchen, WhatsApp dazu zu bringen, den Code per Sprachanruf zu senden, in der Hoffnung, dass er in Ihrer Voicemail gespeichert wird. Wenn Ihre Voicemail nicht geschützt ist oder ein schwaches Passwort (z. B. 0000, 1234) hat, könnten Betrüger auf den Code zugreifen. Legen Sie daher ein sicheres und eindeutiges Passwort fest.
• Informieren Sie Ihre Kontakte: Teilen Sie diese Informationen mit Ihren Freunden. Je mehr Menschen von diesem Betrug wissen, desto geringer ist die Wahrscheinlichkeit, dass sie darauf hereinfallen. Und desto geringer ist auch Ihr Risiko, wenn jemand versucht, Sie mit einem kompromittierten Konto zu betrügen.

Die Effektivität dieser Betrugsmasche wird trotz ihrer technischen Einfachheit (sie basiert auf Social Engineering, nicht auf komplexen Hacks ) durch „Verifizierungsmüdigkeit“ verstärkt. Nutzer erhalten und verwenden ständig Codes für Bankgeschäfte, soziale Medien, Einkäufe usw., was die Vorsicht verringern kann. Social Engineering nutzt unsere Neigung aus, Freunden zu helfen oder „offizielle“ oder dringende Anfragen zu erfüllen. Obwohl WhatsApp und andere Plattformen vor der Weitergabe von Codes warnen, können Druck, eine ausgeklügelte Täuschung oder Ablenkung dazu führen, dass diese Warnungen ignoriert werden. Dies unterstreicht, dass technische Lösungen wie die Zwei-Faktor-Authentifizierung (hervorragend und notwendig) mit kontinuierlicher Aufklärung und der Stärkung einer gesunden Skepsis einhergehen müssen. Es ist wichtig, dass Nutzer sich angewöhnen, ihre Identität proaktiv zu überprüfen, auch wenn Anfragen legitim erscheinen oder von bekannten Kontakten stammen.

Sollten Sie trotz aller Vorsichtsmaßnahmen glauben, Opfer dieser Betrugsmasche geworden zu sein und Ihr WhatsApp-Konto gekapert worden sein, ist es wichtig, schnellstmöglich zu handeln:

• Versuchen Sie sofort, die Kontrolle wiederzuerlangen:
  • Öffnen Sie WhatsApp auf Ihrem Telefon und versuchen Sie erneut, Ihre Nummer zu registrieren. Das System sendet Ihnen einen neuen Code per SMS. Wenn der Betrüger die Zwei-Schritt-Verifizierung für das kompromittierte Konto nicht aktiviert hat, sollte die Eingabe dieses neuen Codes Ihnen die Kontrolle zurückgeben und Sie aus dem Konto des Betrügers ausloggen.
  • Wenn der Betrüger die Zwei-Schritt-Verifizierung mit einer Ihnen unbekannten PIN aktiviert hat, ist die Situation komplizierter. WhatsApp fragt nach dieser PIN. Wenn Sie sie nicht haben, müssen Sie in der Regel sieben Tage warten, bevor Sie versuchen können, Ihr Konto ohne sie wiederherzustellen. Während dieser sieben Tage könnte der Betrüger die PIN weiterhin zum Senden von Nachrichten verwenden, sollte jedoch keinen Zugriff auf Ihren alten Chatverlauf haben, sofern dieser lokal auf Ihrem Gerät und nicht in einem Backup gespeichert ist, auf das er Zugriff hat.