IT-Experten klären auf: Analyse zeigt neue Phishing-Masche via WhatsApp

Die Betrugsmaschen von Cyberkriminellen werden immer raffinierter. Verbraucher:innen sollten daher achtsam sein – selbst wenn die eigene Familie sich meldet. Zwar wirken Nachrichten per WhatsApp vom Bruder oder Freuden vertrauenswürdig, jedoch kann sich hinter ihnen auch eine fiese Phishing-Methode verbergen.

Das Technologieunternehmen für Cybersicherheit "Gen Digital" hat in einer Analyse eine neue Masche von Cyberkriminellen aufgedeckt. Durch sogenannte GhostPairing-Attacken versuchen Betrüger WhatsApp-Konten zu übernehmen. In diesen Fällen werden die Opfer selbst dazu verleitet, das eigene Konto mit dem Browser der Betrüger zu verknüpfen. Dieser wird als unsichtbares zusätzliches Gerät hinzugefügt, indem in einer Abfolge von Schritten die Eingabe von Pairingcodes ausgeführt wird.

Das bedeutet: Es werden keine Zugangsdaten gestohlen oder Rufnummern auf betrügerische SIM-Karten umgeleitet, wie es bei SIM-Swaps der Fall ist. Der Kontoinhaber selbst genehmigt durch die Eingabe, die wie eine Verifizierung aussieht, die Verknüpfung mit dem betrügerischen Browser.

Phishing-Nachricht per WhatsApp: "Hey, ich habe gerade dein Foto gefunden!"

Die Kriminellen geben in den betrügerischen Nachrichten vor, dass sie Fotos der Opfer in verschiedenen Medien gefunden hätten: "Hey, ich habe gerade dein Foto gefunden!", heißt es in den Phishing-Nachrichten. Nach Beobachtungen von Gen Digital variiert der Wortlaut der kurzgehaltenen Mitteilungen leicht. Mit dem Satz wird zusätzlich ein Link versendet, der in der Vorschau wie ein Facebook-Post aussieht.

Beim Draufklicken werden die Opfer auf eine Seite gelockt, deren Domains zu einer Gruppe von betrügerische Webseiten gehören. Die Pfade enthielten oft zutrauliche Begriffe wie /login/facepost.com oder /login/post.com, um das Opfer in die Irre zu führen. Anhand der Analyse wurden mitunter folgende Domains registriert:

photobox[.]life
postsphoto[.]life
yourphoto[.]life
photopost[.]live
yourphoto[.]world
top-foto[.]life
fotoface[.]top

Die Webseite, auf die die WhatsApp-Nutzer:innen geführt werden, hat ein minimalistisches Design mit Facebook-Logo und -farben und eine Schaltfläche. Diese fordert Nutzer:innen dazu auf, eine Bestätigung durchzuführen, bevor sie das Foto sehen können.

Übernahme des WhatsApp-Accounts durch Vortäuschung einer Verifizierung

Fahren die Opfer mit dem Prozess fort, so erscheint zum einen ein QR-Code, der gescannt werden soll. Die Alternative ist ein Nummerncode per SMS, den die Nutzer:innen im letzten Schritt in WhatsApp eingeben sollen. Ist dieser Schritt abgeschlossen, so erhalten Betrüger vollständige Kontrolle über das Konto der Opfer.

Anhand der Analyse haben die Cybersecurity-Experten von GenDigital festgestellt, dass die Eingabe des Nummerncodes wesentlich häufiger auftritt, da dieser Schritt mit nur einem einzigen Gerät, zumeist einem Smartphone, durchgeführt werden kann. Mittels dieser Variante werden die Nutzer:innen dazu aufgefordert, eingangs ihre Telefonnummer einzugeben. Für das Opfer wird dabei eine Zwei-Faktor-Authentifizierung nachgestellt, für deren Ausführung sie einen Code per SMS erhalten. Statt einer vorgetäuschten Sicherheitsprüfung wird aber eine andere Funktion von WhatsApp genutzt: die "Linked-Devices-Funktion" oder "Verbundene Geräte".. Auf diese Weise können Angreifer sich mit dem WhatsApp-Konto des Opfers verbinden.

Wie können sich Nutzer:innen schützen?

Laut der Analyse wurde die Betrugsmasche vorerst nur in Tschechien registriert. Jedoch warnen die IT-Experten davor, dass auch andere Länder schnell betroffen sein könnten. Erhalten Nutzer:innen verdächtige Nachrichten, so wird empfohlen, nicht auf versendete Links zu klicken. Die Internetadresse der Webseite sollte genaustens überprüft werden. Es gilt aber grundsätzlich die Regel: SMS-Codes sollten nie auf fremden Webseiten eingegeben werden!

Die Gen Digital-Experten empfehlen User:innen folgende Schritte zum Schutz des WhatsApp-Accounts:

1. Überprüfung der verbundenen Geräte: Nutzer:innen können in den WhatsApp-Einstellungen unter "Verbundene Geräte" überprüfen, ob unbekannte Geräte aktiv verknüpft sind. Alle unbekannten Geräte sollten umgehend abgemeldet werden. Es wird auch empfohlen, diesen Schritt regelmäßig durchzuführen.

2. Verdächtige Aufforderungen erkennen: Grundsätzlich gilt: Jede Aufforderung einen QR-Code zu scannen oder einen Zahlencode in einer fremden, externen Webseite einzugeben, sollte als verdächtig aufgenommen werden. Diese Aktionen sollten nur innerhalb der App oder als Reaktion auf eine eingeleitete Aktion stattfinden.

3. Aktivierung der Zwei-Faktor-Authentifizierung: Mit der Zwei-Faktor-Authentifizierung wird Nutzer:innen zusätzlicher Schutz geboten, andere Missbraucharten einzuschränken.

4. Andere vor Betrugsmasche warnen: Es ist auch besonders hilfreich, Informationen über diese Betrugsmasche mit anderen in Gruppenchats zu teilen. So können potenzielle Opfer informiert werden, bevor sie auf verdächtige Links klicken.

Der Messenger-Dienstleister WhatsApp rät dazu, verdächtige Nachrichten auf keinen Fall weiterzuleiten und enthaltene Links und Dateien genau anzusehen. In einigen Fälle kann es helfen, die Identität des Absenders durch Fragen sowie Sprach- oder Videoanrufe zu bestätigen. Verdächtige Nachrichten können gemeldet werden, den Absender können User:innen dann auch blockieren.