WhatsApp-Passkeys werden zur neuen Phishing-Falle

Datenschutzexperten warnen vor einer neuen Betrugswelle. Kriminelle missbrauchen die Einführung von Passkeys für raffinierte Phishing-Angriffe auf WhatsApp. Unter dem Vorwand einer „Sicherheits-Verifizierung“ locken sie Nutzer in die Falle.

Sicherheitsforscher verzeichnen aktuell einen starken Anstieg dieser Betrugsversuche. Eigentlich sollte die Passkey-Technologie die Sicherheit erhöhen. Stattdessen nutzen Betrüger die technische Neuerung als Aufhänger. Sie fordern unter Deckmanteln wie „Passkey-Verifizierung“ oder „Geräte-Synchronisierung“ zur sofortigen Handlung auf – und erbeuten so komplette Konten.

Sicherheitsanalysten von Avast identifizierten kürzlich die Methode „GhostPairing“. Anders als beim klassischen Passwort-Diebstahl zielt sie darauf ab, die legitime „Geräte verknüpfen“-Funktion von WhatsApp zu missbrauchen.

Phishing-Angriffe wie „GhostPairing“ nutzen psychologische Tricks, bei denen ein einziger Klick ausreicht, um den Zugriff auf Ihr Konto zu verlieren. Das kostenlose Anti-Phishing‑Paket bietet eine klare 4‑Schritte-Anleitung, mit der Sie gefälschte Links, manipulierte QR‑Codes und fremde Geräteverknüpfungen erkennen und sofort stoppen. Praxistipps, Checklisten und Fallbeispiele helfen sowohl Privatpersonen als auch Firmen. Anti‑Phishing‑Paket jetzt herunterladen

Der Angriff beginnt meist mit einer dringenden Nachricht: „Dein Sicherheitsstatus ist veraltet“ oder „Bestätige deinen Passkey, um die Sperrung zu vermeiden“. Ein beigefügter Link führt auf eine täuschend echte Fake-Webseite.

Wer den Anweisungen folgt, scannt oft unwissentlich einen QR-Code. Das Opfer verknüpft so das Gerät des Angreifers mit dem eigenen Konto. Die Täter erhalten vollen Zugriff auf Chats, während der Nutzer weiterhin eingeloggt bleibt. Der Betrug bleibt oft lange unbemerkt.

Warum ausgerechnet Passkeys als Köder dienen

Die Ironie: WhatsApp führte Passkeys ein, um SMS-Phishing zu reduzieren. Die Technik gilt als sehr sicher. Kriminelle machen sich nun das fehlende Verständnis vieler Nutzer zunutze.

Da die Technologie neu ist, wirken Aufforderungen zur „Aktualisierung“ plausibel. Experten betonen jedoch: Echte Passkeys werden lokal gespeichert und niemals über externe Links „aktualisiert“. Jede solche Aufforderung ist ein Alarmzeichen.

BSI und Verbraucherschützer verschärfen Warnungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wies diese Woche erneut auf die Gefahren hin. Die Behörde rät dringend davon ab, Links aus unerwarteten Nachrichten zu öffnen – selbst von bekannten Kontakten.

Verbraucherzentralen melden zudem mehr betrügerische WhatsApp-Gruppen. Nutzer werden ungefragt hinzugefügt. Dort verbreiten sich Phishing-Links, oft getarnt als Nachricht vom „technischen Support“.

So schützen Sie sich vor der Betrugswelle

Branchenexperten empfehlen konkrete Maßnahmen:

• „Verknüpfte Geräte“ prüfen: Kontrollieren Sie regelmäßig diesen Menüpunkt in den WhatsApp-Einstellungen. Entfernen Sie sofort unbekannte Browser oder Computer.
• Links zur Verifizierung ignorieren: WhatsApp fordert Sie niemals per Chat auf, sich über einen externen Link zu verifizieren. Solche Prozesse laufen ausschließlich in den App-Einstellungen.
• Zwei-Faktor-Authentifizierung aktivieren: Die klassische 2FA mit einer sechsstelligen PIN bleibt eine wichtige zusätzliche Hürde.
• Bei Dringlichkeit misstrauen: Nachrichten, die mit sofortiger Kontosperrung drohen, sind fast immer betrügerisch.

Das Katz-und-Maus-Spiel geht weiter. Da technische Hürden wie Passkeys den direkten Diebstahl erschweren, setzen Kriminelle verstärkt auf psychologische Manipulation. Bis Messenger-Dienste mit besseren Warnsystemen nachziehen, bleibt das gesunde Misstrauen des Nutzers die wichtigste Verteidigung.

PS: Sie sind nicht machtlos gegen solche Betrugsmaschen. Der Gratis-Report erklärt, welche Warnsignale sofort sichtbar sind, wie Sie verdächtige Verknüpfungen rückgängig machen und welche Einstellungen in Messengern Sie sofort prüfen sollten. Ideal für alle WhatsApp-Nutzer, die ihre Chats und Kontakte sichern wollen. Jetzt kostenlosen Anti‑Phishing‑Guide sichern