Mit einem fremden Whatsapp-Konto lässt sich allerlei anstellen, das oft nur schwer wieder rückgängig zu machen ist: Freundschaften aufkündigen, Fake-News verbreiten, Geld schnorren, Pornobilder aus dem Web in Familiengruppen verbreiten oder einfach Gruppen mit Hass-Kommentaren verlassen. Die Empfänger der Nachrichten können ja nicht ahnen, dass sie nicht von ihren Freunden, sondern von einem Hacker stammen. Doch wie schaffen es Hacker überhaupt, fremde Whatsapp-Konten zu kapern?
Plötzlich kein Zugriff mehr auf das eigene Whatsapp
Ein Trick funktioniert ohne Zutun des Opfers – das zeigt das Beispiel Julia B. Ihr Whatsapp-Konto wurde am 2. Februar 2022 gehackt. In relativ kurzer Abfolge erhielt sie auf ihrem Android-Smartphone mehrere Kurznachrichten mit einem Whatsapp-Code. Dieser ist notwendig, um ein neues Gerät für Whatsapp zu registrieren. Sie hat nicht reagiert. Auch nicht auf die folgenden zwei Anrufe – aus dem Vereinigten Königreich mit der Vorwahl +44 und aus den USA (Bundesstaat Alabama) mit der Vorwahl +1. So weit so gut. Noch ist nichts passiert. Doch dann wird Julia aus Whatsapp abgemeldet und hat keinen Zugriff mehr auf ihre Chats. Eine neue Registrierung gemäß Anleitung von WhatsApp zum Zurücksetzen scheitert, da der Zugang nun mithilfe einer Zwei-Faktor-Authentifizierung (2FA) geschützt ist. Panik bricht aus!
Vergangene Chats kann der Hacker zwar dank Ende-zu-Ende-Verschlüsselung nicht lesen, aber alle Kontakte anschreiben – auch wenn er ihre Namen mangels Zuordnung zu Kontakten nicht kennt. Und genau das tut er: Er schreibt Manuel, dem Verlobten von Julia: „Kennst Du das Mädchen? Will sie Ihren Account wieder haben?“ Klar will Sie das und der Hacker zeigt sich generös. Er schaltet die Zwei-Faktor-Authentifizierung aus und Julia kann ihr WhatsApp-Konto wieder neu registrieren und auf alle Chats zugreifen. Passiert ist nichts.
Mailbox gehackt – Whatsapp gekapert
Aber die spannende Frage bleibt: Wie hat der Hacker den Whatsapp-Account von Julia übernommen. Sie hat den sechsstelligen Registrierungscode nicht weitergegeben. Das war übrigens noch letztes Jahr die Masche der Hacker . Eine schlüssige Erklärung lässt sich nicht finden. Also fragt Manuel den Hacker – wir nennen ihn Fred – per Whatsapp-Chat nach der Vorgehensweise. Fred schickt daraufhin mehrere Sprachnachrichten, die PC-WELT vorliegen. Der Trick bestand darin, die Mailbox von Julia zwischenzuschalten, sich von Whatsapp bei der Registrierung der Mobilfunknummer anrufen zu lassen und den Anrufbeantworter anschließend abzuhören. Auf die genauen Details verzichten wir an dieser Stelle.
Das rät WhatsApp für mehr Sicherheit
Wie bei den vorangegangenen Betrugsmaschen nutzte der Hacker aus, dass das gekaperte Whatsapp-Konto unzureichend abgesichert war. Bereits seit Anfang 2017 lässt sich eine Zwei-Faktor-Authentifizierung (2FA) in der App auf Android-Smartphones und iPhones einschalten. Diese „Verifizierung in zwei Schritten“ stellt sicher, dass der Registrierungscode alleine nicht mehr ausreicht, um Whatsapp zu aktivieren. 2FA ist standardmäßig aus und muss vom Nutzer selbst in den Whatsapp-Einstellungen eingeschaltet werden. Gehen Sie dazu unter „Account“ und tippen Sie auf „Verifizierung in zwei Schritten“. Tippen Sie dann einen sechsstelligen Zahlencode als PIN ein und bestätigen Sie ihn. Zusätzlich hinterlegen Sie eine E-Mail-Adresse, um den Zahlencode zurückzusetzen. Zukünftig fragt Whatsapp regelmäßig den PIN ab und verlangt ihn zwingend, sobald ein Whatsapp-Account eingerichtet wird.
Das sagt der Hacker
Ein Interview wollte uns Fred auf Nachfrage nicht geben. Wir haben aus seinen Chats und Sprachnachrichten aber zumindest einige Details und seine Beweggründe erfahren können: Er wollte einfach nur ausprobieren, ob die im Internet gefundene Anleitung wirklich (noch) funktioniert. Finanzielle Interessen verfolgt er keine. Daher hat er Julia auch den Account zurückgegeben, ohne Schaden anzurichten. Den Trick selbst bezeichnet er als simpel, mehr als ein paar GSM-Codes muss man nicht kennen. Die von ihm verwendeten Telefonnummern (siehe Screenshots) sind alle Fake und nicht zurückverfolgbar. Angeblich ist der Hack mit jedem Whatsapp-Konto möglich, sofern auf dem Smartphone eine Mailbox mit Standard-PINs aktiviert ist – Julias Nummer hat er einfach willkürlich verwendet. Es hätte auch andere treffen können.
Autor: Christoph Hoffmann, Autor
Christoph Hoffmann schreibt seit mehr als 25 Jahren als freier IT-Fachjournalist zu Themen rund um Windows, Software, Apps, Tablets, Smartphones, Gadgets und Verbrauchertipps.