WhatsApp: Neue Betrugswelle kapert Konten per SMS-Code

WhatsApp-Nutzer in Deutschland erleben eine aggressive Welle von Kontoübernahmen. Sicherheitsexperten warnen vor einer Kombination aus klassischem SMS-Phishing und einer emotional manipulative Masche. Die Angriffe starten oft von bereits gekaperten Kontaten enger Freunde. Nach einem Wochenende voller Vorfälle raten Behörden eindringlich: Geben Sie den sechsstelligen Verifizierungscode niemals weiter.

Der „Emma“-Trick: So funktioniert die emotionale Falle

Im Zentrum steht eine perfide Masche. Nutzer erhalten eine WhatsApp-Nachricht von einem bekannten Kontakt – dessen Account bereits in fremder Hand ist. Die Nachricht bittet um Hilfe: Man solle angeblich für ein Kind namens „Emma“ bei einem Online-Wettbewerb abstimmen.

Der beigefügte Link führt auf eine täuschend echte Phishing-Webseite. Um abzustimmen, muss das Opfer seine Handynummer eingeben. Kurz darauf kommt eine echte SMS von WhatsApp mit dem sechsstelligen Verifizierungscode. Die Betrugsseite fordert zur Eingabe dieses Codes auf.

In Wirklichkeit ist dieser Code der Sicherheitsschlüssel für das eigene WhatsApp-Konto. Wer die Zahlen eingibt, übergibt den Account an die Kriminellen. Binnen Sekunden aktivieren diese die Zwei-Faktor-Authentifizierung und sperren den rechtmäßigen Besitzer aus.

Phishing per SMS und Code-Diebstahl nimmt rasant zu – viele Opfer merken erst, wenn das Konto bereits weg ist. Der kostenlose Anti‑Phishing‑Guide erklärt in einem klaren 4‑Schritte‑Plan, wie Sie Smishing‑Nachrichten, gefälschte Abstimmungsseiten und psychologische Tricks wie den „Emma“-Fall sicher erkennen und abwehren. Zusätzlich enthält der Leitfaden Checklisten für schnelle Notfallmaßnahmen, damit Sie im Ernstfall Ihr Konto sofort schützen können. Anti‑Phishing‑Paket jetzt herunterladen

Smishing als Vorstufe: Diese SMS sollten Sie ignorieren

Parallel zum „Emma“-Trick verzeichnen Analysten einen Anstieg von SMS-Phishing („Smishing“). Verbraucherzentralen warnten bereits Ende letzter Woche vor diesen Nachrichten, die gezielt Verunsicherung schüren.

Häufige Betrugs-SMS sind:
* Falsche Paketbenachrichtigungen: „Ihr Paket liegt zur Abholung bereit. Bitte bestätigen Sie Ihre Daten.“
* Gefälschte Bank-Warnungen: Angeblich notwendige Bestätigungen für Überweisungen, oft im Namen großer Banken.
* „Hallo Mama/Papa“-Nachrichten: Der Enkeltrick verlagert sich zunehmend auf SMS, um Opfer später auf WhatsApp finanziell auszunehmen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) betont: Die menschliche Aufmerksamkeit bleibt der wichtigste Schutz, da technische Filter nicht jede betrügerische SMS abfangen können.

Warum der SMS-Code zum Risiko wird

Das Kernproblem ist die Abhängigkeit von der Telefonnummer als Identifikation. Der sechsstellige SMS-Code ist der Generalschlüssel zum Konto.

Sicherheitsexperten weisen darauf hin, dass WhatsApp zwar die Unterstützung für Passkeys massiv ausgebaut hat. Viele Nutzer haben diese biometrische Anmeldung per Gesichtsscan oder Fingerabdruck aber noch nicht aktiviert. Ein Passkey würde den Diebstahl per SMS-Code nahezu unmöglich machen.

Ein weiterer Risikofaktor: Der Support-Stopp für ältere Android- und iOS-Versionen zum 1. Januar 2026. Millionen Nutzer wechselten in den letzten Wochen ihr Gerät. Bei Neuinstallationen sind viele weniger misstrauisch gegenüber Verifizierungs-SMS – ein Umstand, den Betrüger gezielt ausnutzen.

Organisierte Kriminalität hinter den Angriffen

Die Welle in Deutschland ist kein Einzelfall. Internationale Berichte deuten auf organisierte Banden hin. Erst am 8. Februar gelang indischen Behörden ein Schlag gegen ein großes Cyberbetrugs-Netzwerk, das auf WhatsApp-Anlagebetrug spezialisiert war.

Branchenbeobachter kritisieren: Trotz besserer KI-Filter bei Meta ist die soziale Komponente des Betrugs schwer zu unterbinden. Wenn ein Nutzer freiwillig einen Code weitergibt, weil er einem Freund helfen will, greifen technische Schutzmechanismen oft zu spät.

So schützen Sie sich sofort

Experten erwarten, dass die Angriffe in den kommenden Tagen weitergehen. Die Nutzung von KI für personalisierte Phishing-Nachrichten erschwert die Erkennung zusätzlich.

Dringende Handlungsempfehlungen:
1. Codes sind geheim: Geben Sie den sechsstelligen Verifizierungscode niemals weiter – egal wer danach fragt.
2. Passkeys aktivieren: Richten Sie in den WhatsApp-Einstellungen unter „Konto“ die Passkey-Option ein. Das reduziert die Abhängigkeit von SMS.
3. Zwei-Faktor-Authentifizierung nutzen: Legen Sie in der App eine zusätzliche, selbst gewählte sechsstellige PIN fest. Diese kommt nicht per SMS.
4. Links misstrauen: Kommt ein Link von einem Kontakt, der seltsam erscheint? Halten Sie kurz telefonisch Rücksprache, bevor Sie klicken.

Sollte Ihr Konto bereits übernommen worden sein, versuchen Sie eine sofortige Neuverifizierung Ihrer Nummer in der WhatsApp-App. Das loggt den Angreifer oft aus. Gelingt dies nicht, kontaktieren Sie den Support und warnen Sie Ihr Umfeld per SMS oder Anruf.

PS: Sie möchten Angriffe wie die „Emma“-Masche künftig verhindern? Das Anti‑Phishing‑Paket bietet praxisnahe Anleitungen für Privatpersonen: Erkennung manipulativer Links, Verhalten bei Verifizierungs‑SMS und sofortige Schritte nach einer Kontoübernahme. Das kompakte PDF kommt ohne Technik‑Jargon und liefert konkrete To‑Dos für Passkeys, PINs und Kontaktwarnungen an Ihr Umfeld. Anti‑Phishing‑Paket herunterladen