Sicherheitsforscher von Gen haben eine neuartige Kampagne zur Übernahme von WhatsApp-Konten entdeckt, die sie als "GhostPairing Attack" bezeichnen. Der Angriff wirkt auf den ersten Blick harmlos: Betroffene erhalten eine kurze Nachricht von einem bekannten Kontakt, meist mit dem Hinweis "Hey, ich habe dein Foto gefunden". Der enthaltene Link erscheint in WhatsApp mit einer Facebook-ähnlichen Vorschau und weckt so Vertrauen.

Gefälschte Facebook-Seite

Nach dem Klick landen Nutzer auf einer minimalistischen Seite im Facebook-Design, die vorgibt, vor dem Anzeigen des Fotos eine Verifizierung zu verlangen. Tatsächlich handelt es sich nicht um Facebook, sondern um eine Steuerungsoberfläche der Angreifer. Diese vermittelt zwischen dem Opfer und der legitimen WhatsApp-Infrastruktur zur Geräteverknüpfung. Ziel ist es, Nutzer dazu zu bringen, den offiziellen Pairing-Prozess von WhatsApp selbst auszuführen – jedoch zugunsten eines fremden Geräts.

Im Kern missbraucht der Angriff die Funktion "Gerät per Telefonnummer verknüpfen". Gibt das Opfer seine Rufnummer auf der gefälschten Seite ein, leitet diese die Anfrage an WhatsApp weiter. Der daraufhin generierte numerische Kopplungscode wird dem Nutzer angezeigt, verbunden mit der Aufforderung, ihn in WhatsApp einzugeben, um den Zugriff zu bestätigen. Was wie eine normale Zwei-Faktor-Authentifizierung wirkt, autorisiert in Wahrheit den Browser des Angreifers als zusätzliches, vertrauenswürdiges Gerät.

Angreifer erhalten vollen Zugriff

Ist die Verknüpfung abgeschlossen, erhalten die Angreifer umfassenden Zugriff auf Chats, Medien und neue Nachrichten – ohne dass das Opfer ausgesperrt wird oder einen offensichtlichen Hinweis bemerkt. Die zusätzliche Sitzung bleibt aktiv, bis sie manuell entfernt wird. Besonders kritisch ist, dass kompromittierte Konten anschließend zur Weiterverbreitung genutzt werden: Die Angreifer senden dieselbe Locknachricht an Kontakte und Gruppen des Opfers, wodurch sich der Angriff schneeballartig ausbreitet und auf bestehenden Vertrauensbeziehungen aufbaut.

Aus Sicht der Forscher ist GhostPairing vor allem deshalb brisant, weil kein Sicherheitsmechanismus umgangen wird. Stattdessen nutzen Angreifer legitime Funktionen und die Gewohnheit der Nutzer, Codes und Freigaben reflexartig zu bestätigen.

Als Schutz empfehlen Experten, regelmäßig die verknüpften Geräte in den WhatsApp-Einstellungen zu prüfen, unbekannte Sitzungen sofort zu entfernen und Aufforderungen zur Codeeingabe oder QR-Code-Scans von externen Webseiten grundsätzlich misstrauisch zu behandeln. Der Fall gilt zudem als Warnsignal für andere Plattformen, die auf einfache Geräte-Pairing-Mechanismen setzen.