WhatsApp-Konto wird gehackt, während man schläft
Dieser Artikel ist älter als ein Jahr!
Cyberkriminelle können sich mit relativ wenig Aufwand Zugang zu WhatsApp-Profilen verschaffen. Davor warnt der Sicherheitsforscher Zuk Avraham von ZecOps auf Twitter. Lediglich 2 Dinge seien Voraussetzung dafür: Das eigene Handy muss lautlos gestellt sein und die eigene Voicemail muss ein unsicheres voreingestelltes Passwort (Default-Passwort) aufweisen. Wenn dies der Fall ist, hätten Angreifer*innen leichtes Spiel und könnten Menschen von ihrem eigenen WhatsApp-Profil aussperren, sagt Avraham.
So passiert es
Das übliche Vorgehen ist folgendermaßen:
- Person A (der oder die Angreifer*in) besitzt die Telefonnummer von Person B und versucht sich, bei deren WhatsApp-Konto einzuloggen, was klarerweise fehlschlägt.
- Person A gibt beim WhatsApp-Login an, dass die Anmeldung fehlgeschlagen sei und fordert eine Freischalte-PIN an. Person B erhält diese auf ihrem Smartphone, registriert das aber nicht, weil das Handy lautlos geschaltet ist - z.B. während der Nacht.
- Person A gibt beim WhatsApp-Login an, die SMS sei nicht angekommen, woraufhin WhatsApp Person B automatisch anruft. Person B hört den Anruf nicht, er wird auf die Voicemail umgeleitet.
- Person A versucht nun, per Fernabfrage in die Voicemail hineinzukommen. Die ist passwortgesichert. Einige Mobilfunkanbieter verwenden als Default-Passwort allerdings einfach die letzten paar Ziffern der Telefonnummer. Person A probiert genau diese Ziffern aus und kann bei Erfolg die hinterlassene Nachricht von WhatsApp anhören.
- Person A gibt die Daten beim WhatsApp-Login ein, verschafft sich so Zugang zum Profil und aktiviert dort die 2-Faktor-Authentifizierung. Person B bleibt damit von ihrem eigenen Profil ausgeschlossen. Person A kann das Profil von Person B nutzen, um sämtlichen Kontakten vermeintlich persönliche Nachrichten zu schicken, z.b. um Phishing zu betreiben.
So schützt man sich selbst
Als Nutzer*in von WhatsApp kann man sich auf 2 Arten vor dieser Art des Angriffs schützen, berichtet SlashGear. Entweder man stellt sicher, dass das eigene Voicemail-Passwort nicht Teile der eigenen Telefonnummer verwendet oder man richtet selbst eine 2-Faktor-Authentifizierung ein. Das sei sowieso bei allen Diensten empfohlen, die das anbieten.
Die unsicheren Default-Passwörter werden vorrangig bei US-Mobilfunkern verwendet. In Österreich wird häufig ein Teil des PUK-Codes genutzt. Das eigene Voicemail-Passwort kann man bei vielen Mobilfunkanbietern entweder über die Web-Portale ändern, oder indem man die Sprachmailbox anruft und die entsprechende Zahlentaste für die Einstellungen wählt. Bei Magenta ist das zB. die 3. Alternativ kann man die Voicemail beim Mobilfunkanbieter auch ganz deaktivieren.
Kommentare