WhatsApp-Gefahr: GhostPairing kapert Konten weltweit

Ein neuer Cyberangriff nutzt WhatsApps eigene Funktionen aus, um Konten zu übernehmen – ohne Passwortdiebstahl. Die Attacke breitet sich rasant aus.

Die Sicherheitswarnungen mehren sich: Eine raffinierte neue Cyberkampagne namens “GhostPairing” verbreitet sich global und kapert WhatsApp-Konten, indem sie die eigenen Geräte-Verlinkungsfunktionen der Plattform ausnutzt. Cybersicherheitsforscher und Behörden haben diese Woche höchste Warnstufen ausgegeben. Der Angriff benötigt weder gestohlene Passwörter noch SIM-Swapping, sondern kompromittiert Nutzer durch eine clevere Mischung aus Social Engineering und legitimen Funktionen.

Bis heute, Freitag, 26. Dezember 2025, hat sich die Kampagne von einer lokalen Bedrohung in Mitteleuropa zu einem globalen Sicherheitsproblem entwickelt. Führende IT-Sicherheitsfirmen und nationale CERT-Teams drängen auf sofortige Gegenmaßnahmen.

Passend zum Thema: Wenn Sie befürchten, dass Fremde Ihre WhatsApp-Chats beobachten oder Konten still übernehmen, sollten Sie eine sichere Messenger‑Alternative in Erwägung ziehen. Das kostenlose Telegram‑Startpaket zeigt Schritt für Schritt, wie Sie Telegram einrichten, Nummern verbergen, geheime Chats aktivieren und Ihre Kontakte sicher migrieren – ideal für Nutzer mit Datenschutzbedenken. Holen Sie sich den leicht verständlichen PDF‑Report inklusive 5‑Minuten‑Checkliste und schnellen Schritten für den Umstieg. Kostenlosen Telegram-Guide herunterladen

Anders als traditionelle Hacks, die auf Passwort-Knacken oder Softwarelücken setzen, macht sich GhostPairing eine Standard-WhatsApp-Funktion zunutze: die Möglichkeit, weitere Geräte mit einem Konto zu verknüpfen.

Laut Forschern von Gen Digital (der Muttergesellschaft von Norton, Avast und Avira), die die Kampagne erstmals Anfang Dezember identifizierten, ist der Angriff besonders gefährlich, weil er den Ende-zu-Ende-Verschlüsselungsschutz umgeht. Der Angreifer wird einfach als “vertrauenswürdiger” Nutzer eingeladen.

“Der Angreifer muss weder die Verschlüsselung brechen noch ein Passwort stehlen”, erklärt Luis Corrons, Security Evangelist bei Gen Digital, in einem Bericht von letzter Woche. “Er überredet den Nutzer einfach dazu, den Browser des Angreifers mit seinem Konto zu verknüpfen. Ist diese Verbindung erst etabliert, hat der Angreifer denselben Zugriff wie das Opfer.”

Die Attacke trägt den Namen “GhostPairing”, weil das Gerät des Eindringlings lautlos im Hintergrund arbeitet – ein “Geister”-Gerät, das die Aktivitäten des Nutzers spiegelt, ohne dass dieser es bemerkt.

So funktioniert der Angriff: Die “Foto”-Falle

Die GhostPairing-Kampagne setzt auf ein höchst effektives Social-Engineering-Skript, das die Neugier der Opfer ausnutzt. Die Angriffskette verläuft typischerweise in diesen Schritten:

1. Der Köder: Das Opfer erhält eine WhatsApp-Nachricht von einem bekannten Kontakt – dessen Konto wahrscheinlich bereits kompromittiert wurde. Die Nachricht wirkt beiläufig und dringlich, oft mit dem Text: “Hey, ich habe gerade dein Foto gefunden!” oder “Schau dir dieses Foto von dir an.”
2. Das gefälschte Portal: Die Nachricht enthält einen Link, der eine überzeugende Vorschau erzeugt, oft im Stil von Facebook oder Instagram. Beim Anklicken landet der Nutzer auf einer betrügerischen “Viewer”-Seite.
3. Die Verifikationsfalle: Die Seite behauptet, der Nutzer müsse seine Identität “verifizieren”, um den Inhalt zu sehen. Sie fragt nach seiner Telefonnummer.
4. Der Wechsel: Im Hintergrund gibt der Angreifer die Telefonnummer des Opfers in eine echte WhatsApp Web-Login-Sitzung auf seinem eigenen Gerät ein. Dies löst WhatsApps legitimes “Mit Telefonnummer verknüpfen”-Protokoll aus.
5. Der kritische Fehler: Auf dem Bildschirm des Angreifers erscheint ein 8-stelliger Pairing-Code. Die betrügerische Website zeigt denselben Code dem Opfer an und weist es an, ihn zur “Bestätigung der Verifikation” in die WhatsApp-App auf dem eigenen Handy einzugeben.
6. Die totale Übernahme: In dem Glauben, seine Identität für ein Foto zu bestätigen, gibt das Opfer den Code in WhatsApp ein. Diese Aktion autorisiert das Gerät des Angreifers als legitimes, verknüpftes Begleitgerät.

Sobald der Code eingegeben ist, erhält der Angreifer dauerhaften, Echtzeit-Zugriff auf das Konto des Opfers. Er kann vergangene und aktuelle Nachrichten lesen, Fotos und Videos herunterladen, Sprachnachrichten anhören und Nachrichten im Namen des Opfers verschicken, um die Infektion weiter zu verbreiten.

Globale Ausbreitung und Behördenwarnungen

Ursprünglich Mitte Dezember bei Nutzern in Tschechien entdeckt, hat sich die Kampagne aggressiv ausgeweitet. In den letzten 72 Stunden sind die Meldungen über GhostPairing-Infektionen in Europa, Indien und Teilen Nordamerikas sprunghaft angestiegen.

Am Mittwoch, den 24. Dezember, gab Indiens Computer Emergency Response Team (CERT-In) eine Warnung der “Hohen Dringlichkeitsstufe” heraus. Die Behörde wies darauf hin, dass der Angriff Cyberkriminellen erlaubt, “die vollständige Kontrolle über WhatsApp-Konten zu übernehmen, ohne Passwörter oder SIM-Swaps zu benötigen”.

Die Warnung hob hervor, dass der Angriff, da er eine legitime Funktion nutzt, auch Zwei-Faktor-Authentifizierung (2FA) umgeht. Da der Nutzer das Gerät freiwillig (wenn auch ahnungslos) autorisiert, betrachtet das Sicherheitssystem den Eindringling als berechtigten Nutzer.

“Dies ist ein logikbasierter Angriff, kein technischer Bug”, heißt es in einem Sicherheitsbulletin von CSO Online von Anfang dieser Woche. “Alles geschieht innerhalb der Grenzen des von WhatsApp vorgesehenen Funktionsumfangs, was eine automatische Erkennung durch Software extrem schwierig macht.”

Der Unterschied zum SIM-Swapping

Sicherheitsexperten betonen, dass sich GhostPairing deutlich von SIM-Swapping unterscheidet, einer anderen gängigen Methode zum Account-Hijacking. Beim SIM-Swapping bestechen oder täuschen Angreifer Mobilfunkanbieter-Mitarbeiter, um die Rufnummer des Opfers auf eine neue SIM-Karte zu übertragen. Das Opfer verliert dabei komplett den Zugang zu seinem Handy.

Bei einem GhostPairing-Angriff behält das Opfer die volle Kontrolle über sein Handy und sein WhatsApp-Konto. Es gibt keine Dienstunterbrechung, und die App funktioniert normal weiter. Diese “lautlose” Natur erlaubt es dem Angreifer, tagelang oder wochenlang unentdeckt zu bleiben und sensible Daten oder Finanzinformationen aus Chats zu sammeln, bevor der Nutzer etwas bemerkt.

“Viele Opfer wissen nicht, dass im Hintergrund ein zweites Gerät hinzugefügt wurde”, erklärt Martin Chlumecký, ein Malware-Forscher, der an der Erstentdeckung beteiligt war. “Die Kriminellen verstecken sich in Ihrem Konto und beobachten jede Konversation.”

Schutzmaßnahmen und Prävention

Angesichts der rasanten Ausbreitung drängen Cybersicherheitsexperten WhatsApp-Nutzer zu sofortigen Schutzmaßnahmen. Da der Angriff auf Nutzerinteraktion setzt, könnten technische Patches von Meta (der Muttergesellschaft von WhatsApp) das Kernproblem nur langsam beheben, ohne die praktische “Mit Telefonnummer verknüpfen”-Funktion komplett abzuschalten.

So prüfen Sie auf “Geister”-Geräte:
1. Öffnen Sie WhatsApp auf Ihrem Smartphone.
2. Gehen Sie zu Einstellungen (iOS) oder tippen Sie auf das Drei-Punkte-Menü (Android).
3. Wählen Sie Verknüpfte Geräte.
4. Überprüfen Sie die Liste der aktiven Sitzungen. Wenn Sie einen Browser (z.B. “Google Chrome (Windows)”) oder einen Standort sehen, den Sie nicht erkennen, tippen Sie darauf und wählen Sie sofort Abmelden.

Sicherheitsrichtlinien:
* Geben Sie niemals einen Pairing-Code in WhatsApp ein, es sei denn, Sie haben den Verknüpfungsprozess persönlich auf Ihrem eigenen Computer gestartet.
* Seien Sie skeptisch bei Links, die über WhatsApp gesendet werden – selbst von engen Freunden. Besonders, wenn sie generische Phrasen wie “Bist du das auf diesem Foto?” verwenden.
* Verifizieren Sie außerhalb der App: Wenn ein Freund einen verdächtigen Link schickt, rufen Sie ihn an oder schreiben Sie eine SMS, um zu bestätigen, dass er ihn wirklich geschickt hat.

Ausblick: Bequemlichkeit als neue Angriffsfläche

Der Erfolg von GhostPairing unterstreicht einen wachsenden Trend in der Cybersicherheit für 2026: die Hinwendung von technischen Exploits zum “Prozessmissbrauch”. Während Apps gegen Code-basiertes Hacken sicherer werden, zielen Angreifer zunehmend auf die Logik nutzerfreundlicher Funktionen ab.

Branchenanalysten erwarten, dass in den kommenden Monaten Nachahmer-Angriffe auf andere Messenger mit ähnlichen Geräteverknüpfungsfunktionen, wie Telegram oder Signal, auftauchen werden.

“Wir betreten eine Ära, in der Komfortfunktionen die neue Angriffsfläche sind”, sagte ein leitender Analyst von Computing UK in einem Bericht vom Donnerstag. “Solange Nutzer einfachen Zugang strengerer Verifikation vorziehen, werden Angriffe wie GhostPairing weiter gedeihen.”

Meta hat noch keine spezifische Aktualisierung angekündigt, um den Geräteverknüpfungsprozess zu ändern. Der Druck wächst jedoch auf die Plattform, klarere Warnungen einzuführen – etwa “Sie verknüpfen ein neues Gerät” statt generischer Bestätigungsaufforderungen – wenn Nutzer Pairing-Codes eingeben. Bis dahin bleibt die Wachsamkeit der Nutzer die einzige wirksame Firewall.

PS: Viele Nutzer wechseln gerade von WhatsApp zu Telegram, weil sie mehr Kontrolle über Privatsphäre und Verifikation wünschen. Der Gratis‑Report “Telegram Startpaket” erklärt in klaren Schritten, wie Sie Ihr Konto sicher konfigurieren, unerwünschte Verknüpfungen verhindern und Chats unkompliziert übertragen. Inklusive Anleitung für geheime Chats, Nummern verbergen und einer 5‑Minuten‑Checkliste für den schnellen, sicheren Umstieg. Perfekt, um sich gegen GhostPairing‑ähnliche Risiken zu schützen. Jetzt Telegram-Startpaket sichern