Darum gehts
- Bund registriert vermehrt gekaperte Whatsapp-Konten in der Schweiz
- Kriminelle missbrauchen Vertrauen und Zeitdruck mit Schulwettbewerb-Trick
- So holst du dein Konto zurück, wenn die Falle zuschnappt
Die Nachricht tönt eigentlich harmlos: «Hallo, stimm für die Tochter meines Freundes ab, das würde ihnen sehr helfen. Sie heisst Sofia. Ich glaube, die Abstimmung endet bald, es dauert weniger als eine Minute.» Es ist ein emotionaler Appell, einem Kind bei einem Schulwettbewerb zu helfen. Abgeschickt, so scheint es, von einer Person, die man als Kontakt gespeichert hat. Doch klickt man auf den Link, gehört das eigene Whatsapp-Konto schnell jemand anderem.
Das Bundesamt für Cybersicherheit (Bacs) verzeichnet seit der vergangenen Woche vermehrt Meldungen zu der Masche. Die Nachrichten kursieren auf Deutsch und Italienisch. Der Absender ist selbst ein Opfer: Sein Konto wurde zuvor ebenfalls gekapert. «Die Betrüger nutzen dafür das Vertrauen zwischen Freunden schamlos aus», schreibt das Bacs.
Zwei Wege, eine Falle
Wer auf den Link klickt, landet auf einer gefälschten Website, die optisch an eine Schulabstimmung erinnert. Die Aufforderung, einem Kind bei einem Wettbewerb zu helfen, kombiniert mit künstlichem Zeitdruck verleitet zu unüberlegtem Handeln. Das Bacs stuft die Methode als raffiniert ein. Auf der Website warten zwei Varianten.
Erste Methode: Das Opfer gibt seine Handynummer ein und soll dann, «um abzustimmen», den Code eingeben, den es per SMS erhält. Was wie eine Sicherheitsabfrage aussieht, ist aber der sechsstellige Whatsapp-Registrierungscode. Wer ihn eingibt, übergibt sein Konto.
Die zweite Methode ist noch direkter: Ein QR-Code erscheint auf dem Bildschirm, mit der Anweisung, ihn über «Verknüpfte Geräte» in Whatsapp zu scannen. Damit verknüpfen die Täter ihr eigenes Gerät mit dem fremden Konto – über die legitime Whatsapp-Web-Funktion. Ein Scan genügt.
In beiden Fällen haben Täter volle Kontrolle: Kontaktliste, Nachrichtenverlauf, Fotos. Laut Bacs nutzten die Kriminelle die gekaperten Konten, um in Gruppenchats Falschinformationen zu streuen oder weitere Betrugsversuche zu starten. Immer aber kommt der letzte Schritt: Sie versenden dieselbe Nachricht an alle Kontakte des Opfers. Der Trick beginnt von vorn.
Konto weg – was jetzt?
Das Bacs rät Betroffenen, die eigenen Kontakte umgehend über einen anderen Kanal zu informieren: per SMS, Anruf oder E-Mail – dass das Whatsapp-Konto gekapert wurde und niemand Links anklicken soll. Und generell: Wer über Whatsapp einen Link zu einer Abstimmung oder einem Wettbewerb erhält – auch von Bekannten – sollte misstrauisch sein. Im Zweifel kurz anders nachfragen.
Wer den QR-Code gescannt hat und noch App-Zugriff hat: Einstellungen öffnen, «Verknüpfte Geräte» aufrufen, alle unbekannten Geräte abmelden. Wer den SMS-Code preisgegeben hat und keinen Zugriff mehr hat: Whatsapp neu öffnen, Handynummer eingeben und neuen Code per SMS anfordern. Einmal eingegeben, verlieren die Täter automatisch den Zugriff. Haben diese allerdings bereits eine eigene PIN gesetzt, gibt es keine Abkürzung: und man muss sieben Tage warten.
Vorbeugend empfiehlt das Bacs, diese PIN selbst einzurichten – bevor es jemand anderes tut: Einstellungen > Konto > zweistufige Überprüfung. Diesen sollte man sicher verwahren. Vergisst man ihn, kann man ihn zwar ebenfalls zurücksetzen, sperrt sich aber selbst sieben Tage aus.