WhatsApp: Betrüger kapern Konten mit gefälschten Code-Anfragen

Polizei und Verbraucherschützer warnen vor einer neuen Betrugswelle auf WhatsApp. Kriminelle übernehmen Konten, indem sie sich per Nachricht von Freunden den Verifizierungscode erschleichen. Die Angriffe sind besonders tückisch, weil sie von bereits gehackten Konten aus dem eigenen Umfeld kommen.

So funktioniert der „Freund in Not“-Trick

Die Masche setzt auf Vertrauen und Eile. Nutzer erhalten eine Nachricht von einem bekannten Kontakt: „Hallo, ich habe versehentlich einen 6-stelligen Code an dein Handy geschickt. Kannst du ihn mir bitte weiterleiten? Es eilt.“

Fast zeitgleich trifft tatsächlich eine SMS von WhatsApp mit einem sechsstelligen Code ein. Der Hintergrund: Ein Betrüger hat die Nummer des Opfers in einer neuen WhatsApp-Installation eingegeben. Für die Aktivierung braucht er nun den Verifikationscode.

Leitet das Opfer die Zahlen weiter, gibt der Angreifer sie ein. Die Folge ist fatal: Der eigene WhatsApp-Account wird sofort deaktiviert und auf dem Gerät des Kriminellen aktiviert. Der legitime Nutzer verliert den Zugriff auf alle Chats.

Viele Android-Nutzer unterschätzen die Gefahr von Code-Betrug und GhostPairing. Gefälschte Seiten und QR-Codes öffnen Angreifern Tür und Tor — oft merken Betroffene nichts. Das kostenlose Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone: sichere WhatsApp‑Einstellungen, Verknüpfte Geräte prüfen, 2FA richtig einrichten, sichere QR‑Nutzung und regelmäßige Updates. Mit praxisnahen Schritt‑für‑Schritt-Anleitungen und Checklisten schützen Sie Chats und Konten sofort. Gratis-Sicherheitspaket herunterladen

„GhostPairing“: Die lautlose Spionage-Methode

Experten warnen zusätzlich vor einer weiterentwickelten Technik namens „GhostPairing“. Hier wird die Funktion „Verknüpfte Geräte“ missbraucht, um WhatsApp am PC zu nutzen.

Opfer werden auf gefälschte Seiten gelockt und sollen einen QR-Code scannen. Statt eines Gewinnspiels autorisieren sie damit einen fremden Browser für dauerhaften Zugriff auf ihr Konto. Der Nutzer behält seinen Account, bemerkt aber oft wochenlang nicht, dass ein Dritter alle Nachrichten mitliest.

Der entscheidende Unterschied: Der Angriff bleibt lautlos. Erst wenn der Betrüger im Namen des Opfers Geld fordert, fliegt der Betrug auf. Experten raten, regelmäßig die Liste der „Verknüpften Geräte“ in den Einstellungen zu prüfen.

Warum die Masche jetzt so erfolgreich ist

Die Betrüger setzen auf psychologische Tricks. Zeitdruck durch Hinweise wie „Es eilt“ schaltet das kritische Denken aus. Da die Nachricht von einer vertrauten Nummer kommt, schöpfen viele keinen Verdacht.

Hinter der aktuellen Welle steckt auch mehr Professionalität. Die Nachrichten enthalten kaum noch Rechtschreibfehler. Branchenbeobachter vermuten den Einsatz von KI-Tools, die den Schreibstil gehackter Kontakte analysieren und imitieren.

Die Folgen für Betroffene sind schwerwiegend:
* Identitätsdiebstahl: Kriminelle kontaktieren im Namen des Opfers dessen Familie und bitten um Geld („Enkeltrick 2.0“).
* Unternehmensgefahr: Gehackte Mitarbeiter-Accounts werden genutzt, um Kunden mit Fake-Rechnungen zu betrügen.

So schützen Sie sich vor Account-Diebstahl

Die Polizei und Sicherheitsexperten empfehlen eine klare Kombination aus Technik und Verhalten.

Die wichtigste Maßnahme: Zwei-Faktor-Authentifizierung (2FA) aktivieren!
In den WhatsApp-Einstellungen unter „Konto“ kann eine sechsstellige PIN festgelegt werden. Selbst wenn ein Angreifer den SMS-Code hat, scheitert er an dieser zweiten Hürde. Diese PIN darf niemals mit dem SMS-Code verwechselt oder weitergegeben werden.

Verhaltensregeln bei verdächtigen Nachrichten:
* Code niemals weitergeben: Kein seriöser Dienst und kein echter Kontakt fragt jemals nach einem Verifizierungscode.
* Rückruf zur Prüfung: Bei einer seltsamen Bitte den Absender außerhalb von WhatsApp (telefonisch) kontaktieren. Oft stellt sich heraus, dass dessen Account bereits gehackt ist.
* Mailbox sichern: Die Standard-PIN des Anrufbeantworters ändern oder die Fernabfrage deaktivieren.

Was tun, wenn das Konto schon gekapert ist?

Im Ernstfall zählt jede Minute. Betroffene sollten sich sofort wieder mit ihrer Nummer bei WhatsApp anmelden. Dadurch wird der Angreifer oft ausgeloggt. Verlangt die App den Verifizierungscode per SMS, hat man den Account zurück.

Hat der Betrüger jedoch bereits eine 2FA-PIN eingerichtet, muss man laut WhatsApp-Support sieben Tage warten, um den Account zurückzusetzen. Parallel sollte das gesamte Umfeld per SMS oder Social Media gewarnt werden. Eine Anzeige bei der Polizei ist ratsam, besonders wenn finanzielle Schäden entstanden sind.

Das Katz-und-Maus-Spiel geht weiter. Experten erwarten, dass Meta langfristig unsichere SMS-Codes durch biometrische Verfahren wie Passkeys ersetzen wird. Bis dahin bleibt der Nutzer das schwächste Glied – und der beste Schutz.

PS: Sie möchten Ihr Smartphone dauerhaft gegen Einlogg- und Spionage-Tricks wie GhostPairing schützen? Der kostenlose Ratgeber zeigt einfache, praxisnahe Schritte — von richtigem Zwei‑Faktor‑Setup über QR‑Checks bis zu den wichtigsten Systemeinstellungen, die Angreifer scheitern lassen. Ideal für WhatsApp‑Nutzer, die Chats und Kontakte schützen wollen. Sofort umsetzbare Tipps, die weder teure Apps noch technische Vorkenntnisse erfordern. Jetzt kostenloses Schutzpaket anfordern