WhatsApp: Neue GhostPairing-Betrugsmasche nutzt Nutzer als Einfallstor

Eine neue Betrugsmasche namens “GhostPairing” bringt WhatsApp-Konten in fremde Hände. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor der Methode. Die Täter nutzen keine technische Lücke, sondern manipulieren ihre Opfer so geschickt, dass diese den Zugriff selbst freigeben – oft ohne es zu merken. Das eigene Telefon funktioniert normal, während Angreifer im Hintergrund alle Chats, Medien und Kontakte ausspähen.

Die Masche basiert auf Social Engineering und missbraucht eine offizielle WhatsApp-Funktion: die Verknüpfung mit weiteren Geräten. Der Angriff startet meist mit einer neugierig machenden Nachricht von einem bekannten Kontakt, etwa “Bist du das auf diesem Foto?” mit einem Link.

• Klickt das Opfer, landet es auf einer gefälschten Seite, die die Telefonnummer abfragt.
• Mit dieser Nummer starten die Täter den legitimen Kopplungsprozess für ein neues Gerät.
• Das Opfer erhält daraufhin in seiner WhatsApp-App eine echte Kopplungsanfrage mit einem achtstelligen Code.
• Die Fake-Webseite fordert zur “Bestätigung” genau diesen Code auf. Wer ihn eingibt, autorisiert das Gerät der Betrüger.

Warum die Gefahr so lange unentdeckt bleibt

Die Täuschung ist so perfide, weil sie eine legitime App-Funktion nutzt. Das eigene Smartphone zeigt keinerlei Störungen an. Die Angreifer können im Verborgenen:

• Alle ein- und ausgehenden Nachrichten mitlesen.
• Auf persönliche Fotos, Videos und die Kontaktliste zugreifen.
• Das gekaperte Konto als Sprungbrett nutzen, um die betrügerische Nachricht an alle Kontakte zu versenden – was die Masche massiv beschleunigt.

In einigen Fällen versuchen die Täter sogar, den rechtmäßigen Besitzer aus seinem eigenen Konto auszusperren oder erbeutete Daten für Erpressungsversuche zu nutzen.

Viele Android-Nutzer übersehen diese 5 einfachen Schutzmaßnahmen – und machen damit WhatsApp, Banking-Apps und private Daten anfällig. Ein kostenloses Sicherheitspaket erklärt Schritt für Schritt, wie Sie verbundene Geräte prüfen, die Zwei‑Faktor‑Authentifizierung richtig einrichten, verdächtige Links erkennen und Ihr Smartphone ohne teure Zusatz-Apps dauerhaft sichern. Inklusive praktischer Checklisten und leicht verständlicher Anleitungen, empfohlen von Sicherheitsexperten. Gratis-Sicherheitspaket für Android anfordern

So schützen Sie sich vor GhostPairing

Sicherheitsexperten und das BSI empfehlen einfache, aber wirksame Maßnahmen:

• Verbunden Geräte regelmäßig prüfen: Gehen Sie in WhatsApp zu Einstellungen → Verbundene Geräte. Melden Sie unbekannte Geräte sofort ab.
• Zwei-Faktor-Authentifizierung aktivieren: Unter Einstellungen → Konto → Zwei-Schritt-Verifizierung legen Sie eine sechsstellige PIN fest. Diese erschwert eine Konten-Übernahme erheblich.
• Codes niemals auf externen Seiten eingeben: Geben Sie WhatsApp-Codes nur in der offiziellen App ein. Koppeln Sie Geräte nie auf Anweisung Dritter, sondern immer selbst initiiert.
• Bei verdächtigen Links misstrauen: Selbst bei Nachrichten von Bekannten gilt: Im Zweifel lieber kurz telefonisch nachfragen.

Ein Warnsignal für alle digitalen Dienste

GhostPairing ist symptomatisch für einen Trend: Angreifer zielen nicht mehr auf die Technik, sondern auf den Menschen. Die Gewohnheit, Sicherheitsabfragen schnell zu bestätigen, wird zur Falle. Experten sehen darin ein Warnsignal, das über WhatsApp hinausgeht. Viele Dienste setzen auf komfortable Kopplungsmechanismen via QR-Codes – was neue Angriffsvektoren schafft, wenn das Nutzerbewusstsein fehlt.