Neue WhatsApp-Betrugsmasche: Hacker setzen nun auf "Ghost Pairing"
Immer mehr Cyberkriminelle verwenden zurzeit die "Ghost Pairing"-Taktik, um illegal auf Konten und Daten zuzugreifen. (Symbolfoto)
Wer gerne am Laptop arbeitet und nicht immer auf sein Handy wechseln möchte, um zu chatten, greift gerne auf WhatsApp-Web zurück. Die Funktion ermöglicht es Usern und Userinnen, die Applikation auf einem anderen Gerät zu nutzen, das mit dem Mobiltelefon verbunden wird.
Normalerweise erfolgt das mit dem Scan eines QR-Codes. In vielen Fällen merkt sich WhatsApp, welche Endgeräte verbunden sind, und benötigt keine weitere Bestätigung. Genau das gibt in einer neuen Betrugsmasche Cyberkriminellen die Chance, auf fremde Nachrichten und Fotos zuzugreifen. Dabei manipulieren sie mithilfe von "Ghost Pairing" die Gerätekopplungs- oder Verknüpfungsroutine der App.
So hacken sich Kriminelle mit "Ghost Pairing" ein
Unter "Ghost Pairing" versteht man, dass sich Cyberkriminelle ohne Passwörter oder Kontodaten in die Geräte von Benutzern und Benutzerinnen hacken können. Laut Gen Digital wurde diese Art der Attacke erstmals in Tschechien beobachtet. Meist schicken die Hacker und Hackerinnen einen ominösen Link per WhatsApp an die Zielperson, der ein Facebook-Foto enthüllen soll.
Klicken die Betroffenen darauf, werden sie auf eine gefälschte Facebookseite weitergeleitet, die von den Nutzern und Nutzerinnen eine Verifizierung der Identität oder der Telefonnummer fordert. Diese Nummer wird dann von den Angreifern an WhatsApp weitergeleitet, um die Funktion "Gerät über Telefonnummer verknüpfen" zu aktivieren. Dadurch können neue Geräte zu einem Konto hinzugefügt werden.
Gehackte Personen werden selbst zu "Komplizen"
- WhatsApp generiert daraufhin einen achtstelligen Kopplungscode, der abgefangen und an die Kriminellen weitergeleitet wird.
- Der Benutzer oder die Benutzerin sieht anschließend in WhatsApp eine neue Kopplungsaufforderung und gibt diesen Code ein, um die Kopplung zu bestätigen.
- Genau dadurch wird die Browsersitzung des Angreifers als "vertrauenswürdiges Gerät" hinzugefügt, was einen Zugang zum Gerät gewährt.
- Die eingehackte Person hat nun die Möglichkeit, den gesamten Nachrichtenverlauf zu sehen und das Empfangen sowie Senden mitzuverfolgen. Auch geteilte Informationen, Medien oder Sprachnachrichten.
Doch nicht nur das: Die Betrüger und Betrügerinnen können über das betroffene Konto auch selbst Nachrichten verschicken und weitere Personen hacken.
So kann man Fake-Links erkennen
Gen Digital erklärt weiter, dass die versendeten Links eine Gemeinsamkeit aufweisen: Oft ist in der URL /login/post.com oder /login/facepost.com zu lesen, was auf einen vertrauenswürdigen Link hindeuten soll. Bei der Domain wird jedoch sichtbar, dass sie nicht zu Facebook gehören. In Tschechien waren vor allem folgende Abkürzungen im Umlauf:
- photobox[.]life
- postsphoto[.]life
- yourphoto[.]life
- photopost[.]live
- yourphoto[.]world
- Top-Foto[.]Leben
- fotoface[.]top
Betrug mit QR-Code eher seltener
Die Experten erklären weiter, dass der Betrug eher seltener mithilfe eines QR-Codes erfolgt, was ansonsten häufig für WhatsApp-Web genutzt wird. Das hat vor allem damit zu tun, dass der gefälschte QR-Code auf dem Gerät angezeigt wird, das man gerade benutzt. Dass man diesen mit einem zweiten Gerät beispielsweise scannt, ist eher umständlich oder gar nicht möglich. Genau deswegen setzen die Cyberkriminellen eher auf die Telefonnummer und den Pairing-Code.
Was können Betroffene tun?
Betroffene können überprüfen, ob unbefugte Geräte mit WhatsApp verbunden sind.
- Öffnen Sie die Einstellungen in WhatsApp und wählen Sie den Reiter "Verbundene Geräte".
- Überprüfen Sie die Liste der aktiven Sitzungen und melden Sie sich von allen unbekannten Geräten ab.
- Dadurch werden alle Sitzungen entfernt, die durch die Betrüger und Betrügerinnen erstellt wurden.
Kommentare