WhatsApp: Drei neue Gefahren bedrohen Milliarden Nutzer

Eine dreifache Bedrohungswelle trifft WhatsApp-Nutzer weltweit. Internationale Behörden warnen vor einer neuen Verfolgungs-Lücke, betrügerischen Jobangeboten und einer kritischen Methode zur Kontowiederherstellung.

Die National Cybercrime Investigation Agency (NCCIA) und europäische Sicherheitsbehörden mahnen die rund drei Milliarden Nutzer der Plattform zur erhöhten Wachsamkeit. Sie sprechen von einer „professionellen Eskalation“ bei technischen Angriffen und Social Engineering. Die Angriffe kommen zu einer sensiblen Zeit: Mitte Dezember ist die digitale Kommunikation auf Rekordniveau, was Kriminellen perfekte Tarnung bietet.

Am Montag, dem 15. Dezember, veröffentlichte die NCCIA einen dringenden Leitfaden für Opfer von Konten-Übernahmen. Hintergrund ist ein starker Anstieg von Fällen, in denen Hacker nach der Übernahme die Zwei-Faktor-Authentifizierung (2FA) aktivieren. Das Ergebnis: Die eigentlichen Nutzer stehen vor einer „Versuchen Sie es in 7 Tagen erneut“-Sperre.

„Es besteht kein Grund zur Panik“, so die NCCIA. Selbst während der siebentägigen Wartezeit blockiere die Eingabe des SMS-Verifizierungscodes sofort den Zugriff des Angreifers. In dieser Phase könne weder der Nutzer noch der Hacker auf das Konto oder Nachrichten zugreifen. Die Behörde rät Betroffenen, die App bei Verdacht sofort zu deinstallieren und neu zu installieren. Durch erneute Eingabe der eigenen Handynummer werden alle anderen Geräte abgemeldet – die Verbindung des Hackers wird gekappt.

„Silent Whisper“: Unsichtbare Verfolgung via Zustellbestätigungen

Parallel dazu enthüllten Sicherheitsforscher am Dienstag eine tückische neue Verfolgungsmethode namens „Silent Whisper“. Diese Lücke nutzt die technischen Zustellbestätigungen der App aus, die im Hintergrund ausgetauscht werden.

Passend zum Thema „Silent Whisper“: Wenn Sie befürchten, dass Ihre Chat-Aktivität ausspioniert wird, kann ein datensparsamer Messenger schnell mehr Privatsphäre schaffen. Der kostenlose Telegram-Startpaket-Report erklärt Schritt für Schritt, wie Sie Telegram sicher einrichten, geheime Chats nutzen und Ihre Telefonnummer verbergen — ideal für Nutzer, die sofort mehr Schutz wollen. Inklusive Anleitung für sichere Einstellungen auf Smartphone und PC. Kostenloses Telegram-Startpaket herunterladen

Laut einem Bericht von TechRadar können Angreifer so das Gerät eines Ziels wiederholt abtasten – ohne eine sichtbare Nachricht zu senden. Durch Messung der Antwortzeiten lassen sich Rückschlüsse ziehen: Ist der Nutzer aktiv, im Leerlauf, im WLAN oder unterwegs? Mit der Zeit entsteht so ein detailliertes Bild von Tagesabläufen, Schlafmustern und Reisegewohnheiten. Das Abschalten der „Blauen Haken“ (Lesebestätigungen) schützt nicht vor diesen Systempaketen.

Betrügerische Jobangebote nutzen die Weihnachtszeit aus

Die dritte Gefahr zielt auf die menschliche Schwachstelle. Sicherheitsbehörden in Irland und der Employment and Recruitment Federation (ERF) warnten am Dienstag vor einer Welle betrügerischer Jobangebote auf WhatsApp.

Die Scammer geben sich als Personalvermittler aus und nutzen gestohlene Logos seriöser Firmen. Sie locken mit „einfacher Heimarbeit“ und Tagesverdiensten von 170 bis 250 Euro für Aufgaben wie Social-Media-Likes oder KI-Training. Das Muster ist klassisch: Opfer werden auf gefälschte Websites gelockt, wo zunächst kleine „Aktivierungsgebühren“ von rund 10 Euro verlangt werden. Die Forderungen steigen schnell auf Hunderte Euro, bevor die Betrüger verschwinden. „Keine seriöse Agentur verlangt je Geld von einem Bewerber“, betont der ERF.

Hintergrund: Die anhaltende „HackOnChat“-Kampagne

Diese neuen Bedrohungen überschneiden sich mit der bereits bekannten „HackOnChat“-Kampagne. Dabei locken Phishing-SMS zu gefälschten WhatsApp-Web-Portalen. Scannt das Opfer den dortigen QR-Code, wird sein Konto mit dem Gerät des Angreifers verknüpft.

Die Polizei in London und Action Fraud wiederholen daher ihre einfache Regel: „Stoppen, Denken, Anrufen“. Bei ungewöhnlichen Anfragen – besonders um Geld oder einen 6-stelligen Code – sollte man die Person immer direkt anrufen, um ihre Identität zu bestätigen. Der „Hallo Mama/Papa“-Betrug funktioniere weiterhin, weil er technische Verteidigungen umgeht und die menschliche Hilfsbereitschaft ausnutzt.

Professionelle Cyberkriminalität als neue Normalität

Die gleichzeitige Eskalation verschiedener Angrfsvektoren ist kein Zufall. „Der Wechsel von einfachem Phishing zu ‚stiller‘ Verfolgung und mehrstufigem Betrug zeigt eine Professionalisierung der Cyberkriminalität“, sagt Digital-Privacy-Expertin Dr. Elena Kovic. „Nutzer kämpfen nicht mehr nur gegen Bots, sondern gegen organisierte Banden mit psychologischen Scripts und Analyse-Tools.“

Elterngesellschaft Meta hat zwar bereits Millionen betrügerischer Konten löschen lassen. Die „Silent Whisper“-Lücke zeigt jedoch, dass Schwachstellen in der Protokoll-Infrastruktur selbst eine Herausforderung bleiben.

Ausblick: Passkeys als neuer Standard erwartet

Für 2026 erwarten Experten, dass WhatsApp die Zustellbestätigungen strenger limitieren wird, um „Silent Whisper“ einzudämmen. Zudem soll die Einführung von „Passkeys“ zum Standard werden. Diese ersetzen SMS-Codes durch biometrische Verifizierung und könnten den Diebstahl der 6-stelligen Codes obsolet machen.

Bis dahin bleibt der Rat für die letzten Wochen des Jahres klar: Aktivieren Sie die Zwei-Faktor-Authentifizierung, ignorieren Sie unverlangte Jobangebote und teilen Sie niemals einen Verifizierungscode – auch nicht mit einem „Freund“.

PS: Sie möchten nicht nur Ihr aktuelles WhatsApp-Konto schützen, sondern gleich auf einen datensparenden Messenger wechseln? Der kostenlose PDF-Report „Telegram Startpaket“ führt Sie in wenigen Minuten durch Installation, erklärt geheime Chats, sichere Einstellungen und wie Sie Ihre Telefonnummer verbergen — ideal für Einsteiger. Jetzt kostenlosen Telegram-Report per E‑Mail anfordern