WhatsApp wird längst auch im Berufsalltag genutzt – und genau das machen sich Angreifer zunutze. Über manipulierte Geräteverknüpfungen können Betrüger Chats und Medien ausspionieren und kompromittierte Accounts als Sprungbrett für weitere Attacken verwenden. Dr. Martin J. Krämer, CISO Advisor bei KnowBe4, ordnet die Risiken ein und gibt konkrete Präventionstipps.
Foto: KnowBe4
Dr. Martin J. Krämer, CISO Advisor bei KnowBe4
WhatsApp wird längst auch im Berufsalltag genutzt – und genau das machen sich Angreifer zunutze. Über manipulierte Geräteverknüpfungen können Betrüger Chats und Medien ausspionieren und kompromittierte Accounts als Sprungbrett für weitere Attacken missbrauchen. Dr. Martin J. Krämer, CISO Advisor bei KnowBe4, ordnet die Risiken ein und gibt konkrete Präventionstipps.
Im letzten Jahr wurde eine neue Betrugskampagne auf WhatsApp aufgedeckt, die die Geräteverknüpfungsfunktion der Plattform missbraucht und so zur Kontoübernahme von Accounts führen kann. Das verblüffende an der Masche der Cyberkriminellen: Die Angreifer stehlen weder Passwörter, noch müssen sie bei ihrem Vorgehen technisch komplexe Exploits durchführen oder Verschlüsselungsmechanismen knacken. Stattdessen nutzen sie Social Engineering, um Nutzer zu täuschen und sie davon zu überzeugen, ihren Account mit einem neuen Gerät zu verknüpfen. Gelingt der Trick, können die Betrüger über die Nutzung von WhatsApp Web oder dem Desktop-Client der Anwendung kontinuierlichen Zugriff auf Nachrichten und geteilte Medien ihrer Opfer erhalten und bleiben dabei in der Regel sogar unbemerkt.
Die Kampagne beginnt meist damit, dass Nutzer unaufgefordert eine WhatsApp-Nachricht erhalten, die scheinbar von einem bekannten Kontakt stammt. Darin wird behauptet, dass ein Foto der Person gefunden wurde. Ein Link in der Nachricht zeigt eine Vorschau im Facebook-Stil und führt zu einer minimalistischen Seite, die auf den ersten Blick vertraut wirkt. Im Gegensatz zu herkömmlichen Phishing-Methoden ist die verlinkte Seite jedoch nicht darauf ausgelegt, dass der Nutzer seine Anmeldedaten preisgibt. Sie fungiert stattdessen als Kontrollschnittstelle, die zwischen dem Opfer und dem legitimen Workflow der WhatsApp-Geräteverknüpfung vermittelt.
Die Seite fordert den Benutzer auf, seine Telefonnummer einzugeben. Folgt das Opfer der Anweisung, leitet die Webseite die Eingabe an WhatsApp weiter, wo ein legitimer Code zur Geräteverknüpfung generiert wird, der auf dem Handy des Nutzers erscheint. Der User wird daraufhin von der Phishing-Webseite aufgefordert, den Code in der WhatsApp-Anwendung einzugeben, um den Zugriff auf das vermeintlich weitergeleitete Foto zu bestätigen. Sobald der Nutzer dies tut, wird der Browser des Angreifers als vertrauenswürdiges verknüpftes Gerät im WhatsApp-Konto des Opfers hinterlegt.
Diese Technik ist überaus effektiv, da sie den Verifizierungsschritten ähnelt, denen Benutzer alltäglich bei der Nutzung digitaler Dienste begegnen. Der Vorgang sieht auf den ersten Blick wie eine routinemäßige Sicherheitsüberprüfung aus und hindert den User nicht an der weiteren Nutzung der App. Infolgedessen bemerken viele Opfer nicht sofort, dass im Hintergrund ein weiteres Gerät im Account hinterlegt wurde. Verknüpfte Sitzungen können so lange aktiv bleiben, bis sie manuell in den Einstellungen unter der Übersicht „Verknüpfte Geräte” widerrufen werden.
Da WhatsApp als beliebter Messaging-Dienst auch in vielen Bereichen der Arbeitswelt eingesetzt wird, sind Unternehmen ebenso gefährdet wie Privatpersonen. Wenn ein Angreifer über ein verbundenes Gerät Zugriff auf das WhatsApp-Konto eines Mitarbeiters erhält, kann er neue Nachrichten in Echtzeit empfangen, auf zuvor synchronisierte Unterhaltungen zugreifen und geteilte Medien herunterladen. Darüber hinaus können durch die Account-Übernahme auch Phishing-Links an Kollegen, Partner und Kunden des Opfers versendet werden. Dieses Verbreitungsmodell nutzt persönliche Kontakte und Geschäftsbeziehungen als Multiplikationsvektor: Sobald ein einzelnes Konto kompromittiert ist, können Angreifer es nutzen, um Gruppen und Netzwerke zu erreichen – oft mit einer hohen Erfolgsquote, da die Nachricht von einem vertrauenswürdigen Absender stammt.
Benutzer sollten die Funktion zur Geräteverknüpfung nur dann nutzen, wenn sie den Vorgang selbst in der Anwendung initiiert haben und jede unerwartete Aufforderung zur Eingabe eines Codes in WhatsApp als verdächtig betrachten. Es empfiehlt sich, den Einstellungsunterpunkt „Verknüpfte Geräte“ regelmäßig zu überprüfen und unbekannte Sitzungen sofort abzubrechen, denn der durch diese Funktion gewährte Zugriff bleibt so lange bestehen, bis er manuell widerrufen wird. Für Unternehmen gilt es, diese Grundsätze in klare interne Richtlinien umsetzen und einen einfachen Meldeweg für verdächtige Nachrichten einzurichten. Auch praktische Ratschläge und Tipps für Mitarbeiter, die Messaging-Apps auf Geräten verwenden, können zur Absicherung der geschäftlichen Kommunikation beitragen.
Dennoch müssen sich Organisationen darüber bewusst sein, dass technische Richtlinien und einmalige Anweisungen nicht ausreichen. Kriminelle zielen darauf ab, Routineverhalten, Vertrauen in gewohnte Benutzeroberflächen und mangelnde Aufmerksamkeit von Mitarbeitenden auszunutzen. Unternehmen benötigen daher einen strukturierten und kontinuierlichen Security Awareness-Ansatz, der die Belegschaft nicht nur mit den realen Cyberrisiken vertraut macht, sondern sie durch personalisierte Inhalte auch motiviert und so den Aufbau einer resilienten und nachhaltigen Sicherheitskultur unterstützt.
