Hintergrund

WhatsApp-Account gestohlen: Was steckt wirklich dahinter?

Haben Sie schon mal unauf­gefor­dert einen sechs­stel­ligen WhatsApp-Code per SMS bekommen und sind dann in einem Chat aufge­for­dert worden, diesen weiter­zuleiten? Dann droht Account-Dieb­stahl.

Diebstahlschutz: Sicherheitshinweise von WhatsApp Diebstahlschutz: Sicherheitshinweise von WhatsApp
Bild: WhatsApp
In den letzten Wochen haben offenbar Benutzer auf Twitter und Reddit über den Verlust ihrer WhatsApp-Konten berichtet, die "von Hackern gestohlen" worden sein sollen. Darüber berichtet das Magazin WABetaInfo.

Dabei stellt sich die Frage: Kann das wirk­lich passieren? Die Antwort lautet: Ja, denn einige WhatsApp-Nutzer wissen mögli­cher­weise nicht, wie wichtig der sechs­stel­lige Bestä­tigungs­code ist.

Anfrage zum Weiter­leiten des SMS-Bestä­tigungs­codes

WABetaInfo und auch WhatsApp selbst auf einer Service-Seite erläu­tern, dass jeder WhatsApp-Nutzer zur Anmel­dung in seinem WhatsApp-Konto eine aktive SIM-Karte benö­tigt, auf der man SMS oder Anrufe empfangen kann, damit WhatsApp einen Bestä­tigungs­code senden kann, der auch als sechs­stel­liger Code bezeichnet wird. Dieser sechs­stel­lige Code ist wie ein Pass­wort - er ist geheim und darf unter gar keinen Umständen weiter­gegeben werden.

Doch offenbar gelingt es immer wieder, dass über diesen sechs­stel­ligen Code WhatsApp-Accounts über­nommen werden, sodass sich der Hacker anschlie­ßend als die gehackte Person ausgeben kann, beispiels­weise in Gruppen-Chats. Das funk­tio­niert so: Zunächst senden die Hacker eine Nach­richt mit einem Text wie diesem: "Hey! Ich muss mal einen SMS-Code von WhatsApp erhalten, aber mein Telefon kann derzeit keine SMS empfangen. Daher habe ich deine Tele­fon­nummer ange­geben: Kannst du mir den Code mitteilen, den du per SMS erhalten hast?" Wenn diese Nach­richt vom bereits gehackten Account eines Freundes oder Verwandten kommt, den man wirk­lich kennt, könnte man denken, das wäre eine unge­fähr­liche Gefäl­lig­keit. Wer dann den SMS-Code weiter­gibt, muss aber damit rechnen, dass das eigene Konto eben­falls über­nommen wird. Das funk­tio­niert vor allem dann, wenn die Hacker über die Masche so nach und nach alle Accounts einer Gruppe über­nehmen können, weil jedes Mitglied auf den Betrug herein­fällt. Diebstahlschutz: Sicherheitshinweise von WhatsApp Diebstahlschutz: Sicherheitshinweise von WhatsApp
Bild: WhatsApp

Andere Maschen, um an den Bestä­tigungs­code zu kommen

Die gefälschten Konten werden zum Teil mit virtu­ellen Tele­fon­num­mern erstellt, die eigent­lich nicht zur Nutzung von WhatsApp berech­tigt sind. Auch in diesem Fall denken sich die Hacker eine falsche Geschichte aus, um unbe­darfte Nutzer davon zu über­zeugen, ihren sechs­stel­ligen Code weiter­zugeben. Die zuge­sandte Nach­richt sieht dann beispiels­weise so aus: "Ihr WhatsApp-Konto läuft in 2 Tagen ab. Sie müssen es erneuern, indem Sie den Code senden, den wir per SMS gesendet haben." Oder: "Das WhatsApp-Team muss wissen, ob Sie wirk­lich ein Mensch sind: Senden Sie den sechs­stel­ligen Code, den Sie gerade per SMS erhalten haben, in diesem Chat." Denkbar wäre auch eine Nach­richt wie diese: "[WHATSAPP]: Wir haben unge­wöhn­liche Akti­vitäten in Ihrem Konto fest­gestellt. Bitte bestä­tigen Sie Ihre Iden­tität mit dem Bestä­tigungs­code."

Man muss aber wissen, dass niemals jemand nach dem sechs­stel­ligen Code in WhatsApp-Kanälen fragen wird, auch nicht WhatsApp. Der Code ist wie ein Pass­wort, und Pass­wörter dürfen nicht weiter­gegeben werden. Außerdem empfiehlt der Messenger-Dienst, immer nur offi­zielle WhatsApp-Builds aus dem App Store, aus TestFlight, dem Google Play Store oder von der offi­ziellen WhatsApp-Website zu verwenden. Nicht auto­risierte WhatsApp-Versionen können die Privat­sphäre und Sicher­heit gefährden.

Was tun bei einem gestoh­lenen WhatsApp-Account?

Wer den Verdacht hat, dass ein anderer Benutzer den WhatsApp-Account verwendet, sollte Familie und Freunde auf einem anderen Weg benach­rich­tigen, da der Hacker sich in Chats und Gruppen für die Person mit dem über­nom­menen Account ausgeben kann.

Um den eigenen Account wieder zu über­nehmen, muss man sich mit der betref­fenden eigenen Tele­fon­nummer bei WhatsApp anmelden und die Tele­fon­nummer veri­fizieren, indem man den sechs­stel­ligen Code eingibt, den man per SMS erhalten hat. Sobald man den sechs­stel­ligen SMS-Code einge­geben hat, wird der Hacker, der den Account illegal verwendet, auto­matisch abge­meldet.

Dabei kann aber ein weiteres Problem auftreten: Mögli­cher­weise hat der Hacker, der den eigenen Account benutzt, die Veri­fizie­rung in zwei Schritten akti­viert. Dann wird man in der Regel aufge­for­dert, den Code für die Veri­fizie­rung in zwei Schritten einzu­geben - doch diesen Code kennt man ja nicht. In diesem Fall muss man sieben Tage warten, um sich ohne den Code für die Veri­fizie­rung in zwei Schritten anzu­melden. Denn auch wenn man diesen Veri­fizie­rungs­code nicht kennt, wird die andere Person aus dem Account abge­meldet und man kann diesen nach einer Woche dann über­nehmen.

Die Zwei-Faktor-Authenti­sie­rung (2FA) ist ein zusätz­liches Sicher­heits­tool, um Konten vor unbe­fugten Zugriff zu schützen. Wir haben uns die 2FA anhand einiger Beispiele ange­schaut und zeigen, wie man sie akti­viert.

Mehr zum Thema WhatsApp