Skip to content

Phishing-Kampagne zielt auf WhatsApp-Konten ab

Diesen Post Teilen

Forscher bei Gen warnen, dass eine Phishingkampagne versucht, Nutzer dazu zu verleiten, bösartige Geräte mit ihren WhatsApp-Konten zu verbinden.

Der Angriff beginnt mit einer unaufgeforderten Nachricht mit dem Inhalt „Hey, ich habe gerade dein Foto gefunden!“ und einem Link zu einer gefälschten Facebook-Anmeldeseite. Anstatt jedoch zu versuchen, die Facebook-Anmeldedaten der Benutzer zu stehlen, versuchen die Angreifer, Zugriff auf die WhatsApp-Konten der Opfer zu erhalten.

„Diese Seite hat zwei Zwecke“, erklären die Forscher. „Erstens schafft sie ein Gefühl der Vertrautheit, das den Nutzer dazu veranlasst, der Seite zu vertrauen. Die Menschen erwarten, dass Facebook von Zeit zu Zeit eine Bestätigung verlangt. Ein Anmeldebutton oder ein Verifizierungsschritt erscheinen ihnen daher ganz normal. Zweitens dient sie als Kontrollzentrum für den Angreifer. Die Seite ist nicht mit Facebook verbunden, sondern vermittelt zwischen dem Opfer und der legitimen WhatsApp-Web-Infrastruktur, die der Angreifer missbraucht.“

Die Phishing-Seite zeigt entweder einen QR-Code an oder enthält ein Feld, in das der Benutzer seine Telefonnummer eingeben kann. Der Angriff läuft wie folgt ab:

  1. „Das Opfer gibt seine Telefonnummer auf der gefälschten Seite ein.

  2. „Die Seite leitet diese Nummer an die legitime Funktion „Gerät über Telefonnummer verbinden“ von WhatsApp weiter.

  3. „WhatsApp generiert einen Pairing-Code, der nur für den Kontoinhaber sichtbar sein soll.

  4. Die Website des Angreifers übernimmt diesen Code und zeigt ihn dem Opfer zusammen mit einem Text an, der ihm suggeriert, dass es „dies in WhatsApp eingeben soll, um die Anmeldung zu bestätigen und das Foto zu sehen“.

  5. „Das Opfer öffnet WhatsApp, sieht die Aufforderung zur Kopplung und gibt den Code ein, in der Annahme, dass es sich um eine Sicherheitsüberprüfung handelt.“

Sobald das bösartige Gerät gekoppelt ist, hat der Angreifer vollen Zugriff auf das WhatsApp-Konto des Opfers und kann zusätzliche Phishing-Nachrichten an die Kontakte des Opfers senden.

KI-unterstütztes Sicherheitstraining befähigt Ihre Mitarbeiter, jeden Tag intelligentere Sicherheitsentscheidungen zu treffen und das menschliche Risiko zu verringern.

Gen hat das story.

Kostenloser Phishing-Sicherheitstest für Ihr Unternehmen

Wie anfällig sind Ihre Mitarbeitenden für Phishing?

Über 90 % aller erfolgreichen Cyberangriffe beginnen mit einer Phishing-Mail. Finden Sie jetzt mit einem kostenlosen Test heraus, wie viele Ihrer Mitarbeitenden potenziell gefährdet sind – schnell, anonym und ohne Verpflichtung.

Das erwartet Sie:

  • Phishing-Test für bis zu 100 Mitarbeitende – kostenlos

  • In wenigen Minuten starten – keine Rücksprache nötig

  • Auswahl aus über 20 Sprachen und Szenarien

  • Detaillierte Auswertung als PDF-Bericht in 24 Stunden

  • Benchmark-Vergleich mit Ihrer Branche

  • Ideale Grundlage für Ihre interne Awareness-Strategie

Jetzt kostenlosen Sicherheitstest starten