WhatsApp-Geräteverknüpfung: Missbrauch durch Betrüger zum Ausspionieren von Chats

Unternehmen sollten Grundsätze der „WhatsApp“-Nutzung in klare interne Richtlinien umsetzen und einen einfachen Meldeweg für verdächtige Nachrichten einrichten

[datensicherheit.de, 23.01.2026] Dr. Martin J. Krämer, „CISO Advisor“ bei KnowBe4, geht in einer aktuellen Stellungnahme auf eine im letzten Jahr – 2025 – aufgedeckte neue Betrugskampagne via „WhatsApp“ ein: Bei dieser wird demnach die Geräteverknüpfungsfunktion dieser Plattform missbraucht, um Konten zu übernehmen. „Das verblüffende an der Masche der Cyberkriminellen: Die Angreifer stehlen weder Passwörter, noch müssen sie bei ihrem Vorgehen technisch komplexe ,Exploits’ durchführen oder Verschlüsselungsmechanismen knacken“, berichtet Krämer. Stattdessen nutzten sie „Social Engineering“, um Nutzer zu täuschen und sie davon zu überzeugen, ihr Account mit einem neuen Gerät zu verknüpfen. „Gelingt der Trick, können die Betrüger über die Nutzung von ,WhatsApp Web’ oder dem Desktop-Client der Anwendung kontinuierlichen Zugriff auf Nachrichten und geteilte Medien ihrer Opfer erhalten und bleiben dabei in der Regel sogar unbemerkt.“

Foto: KnowBe4

Dr. Martin J. Krämer: Kriminelle zielen darauf ab, Routineverhalten, Vertrauen in gewohnte Benutzeroberflächen und mangelnde Aufmerksamkeit auszunutzen!

Vermeintlich harmlose „WhatsApp“-Funktion ermöglicht Kontoübernahmen

Die Kampagne beginne meist damit, dass Nutzer unaufgefordert eine „WhatsApp“-Nachricht erhielten, scheinbar von einem bekannten Kontakt stammend.

• „Darin wird behauptet, dass ein Foto der Person gefunden wurde. Ein Link in der Nachricht zeigt eine Vorschau im ,facebook’-Stil und führt zu einer minimalistischen Seite, die auf den ersten Blick vertraut wirkt.“

Im Gegensatz zu herkömmlichen Phishing-Methoden sei diese verlinkte Seite jedoch nicht darauf ausgelegt, dass der Nutzer seine Anmeldedaten preisgibt – sie fungiere stattdessen als zwischen dem Opfer und dem legitimen „Workflow“ der „WhatsApp“-Geräteverknüpfung vermittelnde Kontrollschnittstelle.

Phishing-Webseite fordert auf, Code in der „WhatsApp“-Anwendung einzugeben

Die Webseite fordere den Benutzer auf, seine Telefonnummer einzugeben. „Folgt das Opfer der Anweisung, leitet die Webseite die Eingabe an ,WhatsApp’ weiter, wo ein legitimer Code zur Geräteverknüpfung generiert wird, der auf dem Handy des Nutzers erscheint.“

• Der Nutzer werde daraufhin von der Phishing-Webseite aufgefordert, den Code in der „WhatsApp“-Anwendung einzugeben, um den Zugriff auf das vermeintlich weitergeleitete Foto zu bestätigen.

„Sobald der Nutzer dies tut, wird der Browser des Angreifers als vertrauenswürdiges verknüpftes Gerät im ,WhatsApp’-Konto des Opfers hinterlegt.“

Auch Unternehmen sind dem Risiko des „WhatsApp“-Missbrauchs ausgesetzt

Diese Technik sei überaus effektiv, da sie den Verifizierungsschritten ähnele, denen Benutzer alltäglich bei der Nutzung digitaler Dienste begegneten. Der Vorgang sehe auf den ersten Blick wie eine routinemäßige Sicherheitsüberprüfung aus und hindere den Nutzer nicht an der weiteren Nutzung der App.

• Infolgedessen bemerkten viele Opfer nicht sofort, „dass im Hintergrund ein weiteres Gerät im Account hinterlegt wurde“. Verknüpfte Sitzungen könnten so lange aktiv bleiben, bis sie manuell in den Einstellungen unter der Übersicht „Verknüpfte Geräte” widerrufen würden.

Da „WhatsApp“ als beliebter Messaging-Dienst auch in vielen Bereichen der Arbeitswelt eingesetzt wird, sind Unternehmen ebenso gefährdet wie Privatpersonen, warnt Krämer. „Wenn ein Angreifer über ein verbundenes Gerät Zugriff auf das ,WhatsApp’-Konto eines Mitarbeiters erhält, kann er neue Nachrichten in Echtzeit empfangen, auf zuvor synchronisierte Unterhaltungen zugreifen und geteilte Medien herunterladen.“

„WhatsApp“-Einstellungsunterpunkt „Verknüpfte Geräte“ regelmäßig überprüfen

Darüber hinaus könnten durch die Account-Übernahme auch Phishing-Links an Kollegen, Partner und Kunden des Opfers versendet werden. Dieses Verbreitungsmodell nutze persönliche Kontakte und Geschäftsbeziehungen als Multiplikationsvektor: „Sobald ein einzelnes Konto kompromittiert ist, können Angreifer es nutzen, um Gruppen und Netzwerke zu erreichen – oft mit einer hohen Erfolgsquote, da die Nachricht von einem vertrauenswürdigen Absender stammt.“

• Benutzer sollten die Funktion zur Geräteverknüpfung also nur dann nutzen, wenn sie den Vorgang selbst in der Anwendung initiiert haben und jede unerwartete Aufforderung zur Eingabe eines Codes in „WhatsApp“ als verdächtig betrachten.

Es empfehle sich, den Einstellungsunterpunkt „Verknüpfte Geräte“ regelmäßig zu überprüfen und unbekannte Sitzungen sofort abzubrechen, „denn der durch diese Funktion gewährte Zugriff bleibt so lange bestehen, bis er manuell widerrufen wird“.

„WhatsApp“ warnendes Beispiel: Unternehmen benötigen strukturierten und kontinuierlichen „Security Awareness“-Ansatz

Für Unternehmen gelte es, diese Grundsätze in klare interne Richtlinien umsetzen und einen einfachen Meldeweg für verdächtige Nachrichten einzurichten. Auch praktische Ratschläge und Tipps für Mitarbeiter, die Messaging-Apps auf Geräten verwenden, könnten zur Absicherung der geschäftlichen Kommunikation beitragen.

• Dennoch müssten sich Organisationen darüber bewusst sein, dass technische Richtlinien und einmalige Anweisungen nicht ausreichten. „Kriminelle zielen darauf ab, Routineverhalten, Vertrauen in gewohnte Benutzeroberflächen und mangelnde Aufmerksamkeit von Mitarbeitenden auszunutzen.“

Unternehmen benötigten daher einen strukturierten und kontinuierlichen „Security Awareness“-Ansatz, welcher die Belegschaft nicht nur mit den realen Cyberrisiken vertraut macht, „sondern sie durch personalisierte Inhalte auch motiviert und so den Aufbau einer resilienten und nachhaltigen Sicherheitskultur unterstützt“, so Krämers Empfehlung.

Weitere Informationen zum Thema:

knowbe4
KnowBe4 News und Wissenswertes

knowbe4
Dr. Martin J. Krämer

WIKIPEDIA
WhatsApp