WhatsApp-Account gestohlen: Was steckt wirklich dahinter?
Diebstahlschutz: Sicherheitshinweise von WhatsApp
Bild: WhatsApp
In den letzten Wochen haben offenbar Benutzer auf Twitter und Reddit über den Verlust ihrer WhatsApp-Konten berichtet, die "von Hackern gestohlen" worden sein sollen. Darüber berichtet das Magazin WABetaInfo.
Dabei stellt sich die Frage: Kann das wirklich passieren? Die Antwort lautet: Ja, denn einige WhatsApp-Nutzer wissen möglicherweise nicht, wie wichtig der sechsstellige Bestätigungscode ist.
Anfrage zum Weiterleiten des SMS-Bestätigungscodes
WABetaInfo und auch WhatsApp selbst auf einer Service-Seite erläutern, dass jeder WhatsApp-Nutzer zur Anmeldung in seinem WhatsApp-Konto eine aktive SIM-Karte benötigt, auf der man SMS oder Anrufe empfangen kann, damit WhatsApp einen Bestätigungscode senden kann, der auch als sechsstelliger Code bezeichnet wird. Dieser sechsstellige Code ist wie ein Passwort - er ist geheim und darf unter gar keinen Umständen weitergegeben werden.
Doch offenbar gelingt es immer wieder, dass über diesen sechsstelligen Code WhatsApp-Accounts übernommen werden, sodass sich der Hacker anschließend als die gehackte Person ausgeben kann, beispielsweise in Gruppen-Chats. Das funktioniert so: Zunächst senden die Hacker eine Nachricht mit einem Text wie diesem: "Hey! Ich muss mal einen SMS-Code von WhatsApp erhalten, aber mein Telefon kann derzeit keine SMS empfangen. Daher habe ich deine Telefonnummer angegeben: Kannst du mir den Code mitteilen, den du per SMS erhalten hast?"
Wenn diese Nachricht vom bereits gehackten Account eines Freundes oder Verwandten kommt, den man wirklich kennt, könnte man denken, das wäre eine ungefährliche Gefälligkeit. Wer dann den SMS-Code weitergibt, muss aber damit rechnen, dass das eigene Konto ebenfalls übernommen wird. Das funktioniert vor allem dann, wenn die Hacker über die Masche so nach und nach alle Accounts einer Gruppe übernehmen können, weil jedes Mitglied auf den Betrug hereinfällt.
Diebstahlschutz: Sicherheitshinweise von WhatsApp
Bild: WhatsApp
Andere Maschen, um an den Bestätigungscode zu kommen
Die gefälschten Konten werden zum Teil mit virtuellen Telefonnummern erstellt, die eigentlich nicht zur Nutzung von WhatsApp berechtigt sind. Auch in diesem Fall denken sich die Hacker eine falsche Geschichte aus, um unbedarfte Nutzer davon zu überzeugen, ihren sechsstelligen Code weiterzugeben. Die zugesandte Nachricht sieht dann beispielsweise so aus: "Ihr WhatsApp-Konto läuft in 2 Tagen ab. Sie müssen es erneuern, indem Sie den Code senden, den wir per SMS gesendet haben." Oder: "Das WhatsApp-Team muss wissen, ob Sie wirklich ein Mensch sind: Senden Sie den sechsstelligen Code, den Sie gerade per SMS erhalten haben, in diesem Chat." Denkbar wäre auch eine Nachricht wie diese: "[WHATSAPP]: Wir haben ungewöhnliche Aktivitäten in Ihrem Konto festgestellt. Bitte bestätigen Sie Ihre Identität mit dem Bestätigungscode."
Man muss aber wissen, dass niemals jemand nach dem sechsstelligen Code in WhatsApp-Kanälen fragen wird, auch nicht WhatsApp. Der Code ist wie ein Passwort, und Passwörter dürfen nicht weitergegeben werden. Außerdem empfiehlt der Messenger-Dienst, immer nur offizielle WhatsApp-Builds aus dem App Store, aus TestFlight, dem Google Play Store oder von der offiziellen WhatsApp-Website zu verwenden. Nicht autorisierte WhatsApp-Versionen können die Privatsphäre und Sicherheit gefährden.
Was tun bei einem gestohlenen WhatsApp-Account?
Wer den Verdacht hat, dass ein anderer Benutzer den WhatsApp-Account verwendet, sollte Familie und Freunde auf einem anderen Weg benachrichtigen, da der Hacker sich in Chats und Gruppen für die Person mit dem übernommenen Account ausgeben kann.
Um den eigenen Account wieder zu übernehmen, muss man sich mit der betreffenden eigenen Telefonnummer bei WhatsApp anmelden und die Telefonnummer verifizieren, indem man den sechsstelligen Code eingibt, den man per SMS erhalten hat. Sobald man den sechsstelligen SMS-Code eingegeben hat, wird der Hacker, der den Account illegal verwendet, automatisch abgemeldet.
Dabei kann aber ein weiteres Problem auftreten: Möglicherweise hat der Hacker, der den eigenen Account benutzt, die Verifizierung in zwei Schritten aktiviert. Dann wird man in der Regel aufgefordert, den Code für die Verifizierung in zwei Schritten einzugeben - doch diesen Code kennt man ja nicht. In diesem Fall muss man sieben Tage warten, um sich ohne den Code für die Verifizierung in zwei Schritten anzumelden. Denn auch wenn man diesen Verifizierungscode nicht kennt, wird die andere Person aus dem Account abgemeldet und man kann diesen nach einer Woche dann übernehmen.
Die Zwei-Faktor-Authentisierung (2FA) ist ein zusätzliches Sicherheitstool, um Konten vor unbefugten Zugriff zu schützen. Wir haben uns die 2FA anhand einiger Beispiele angeschaut und zeigen, wie man sie aktiviert.