Phishing starten

WhatsApp unter Beschuss: GhostPairing kapert Konten in Minuten

GhostPairing missbraucht die Geräte-Verknüpfung von WhatsApp für lautlose Kontoübernahmen. Der Artikel erklärt den Ablauf, Risiken für Unternehmen und 12 Schutzmaßnahmen.
Inhaltsverzeichnis

WhatsApp unter Beschuss: GhostPairing kapert Konten in Minuten

Lesezeit: 6 Min. •

Eine neue Angriffsserie zeigt, wie Angreifer die legitime Geräte-Verknüpfung von WhatsApp ausnutzen, um Konten unbemerkt zu übernehmen. Die Kampagne – in der Szene als „GhostPairing“ bezeichnet – setzt nicht auf eine Zero-Day-Lücke, sondern auf clevere Social-Engineering-Tricks und die missbräuchliche Nutzung offizieller Funktionen.

Die Folge: Kriminelle koppeln unautorisiert ein eigenes Endgerät an das WhatsApp-Konto ihrer Opfer, lesen in Echtzeit mit, verschicken Nachrichten im Namen des Opfers und hebeln dabei gewohnte Sicherheitsbausteine aus. Erfahre, wie der Angriff funktioniert – und wie du dich und dein Unternehmen effektiv schützt.

Was hinter GhostPairing steckt: legitime Funktion, missbräuchlich genutzt

WhatsApp erlaubt es, mehrere Geräte mit einem Konto zu verknüpfen – praktisch für Desktop und Zweitgerät. Genau hier setzt GhostPairing an: Angreifer stoßen einen Verknüpfungsprozess an und bringen das Opfer dazu, den Pairing-Prozess zu bestätigen oder einen Code preiszugeben. Im Ergebnis wird ein zusätzliches Gerät gekoppelt, ohne dass das Originalgerät ausgeloggt wird. Dadurch bleibt die Accountübernahme lange unentdeckt.

Wichtig: Hierbei handelt es sich nicht um eine spektakuläre Zero-Day-Exploitation, sondern um die Ausnutzung einer regulären Multi-Device-Funktion. Der Sicherheitshebel ist daher vor allem Security Awareness und saubere Prozesshärtung – nicht ein dringend benötigtes Patch.

So läuft der Angriff ab: Social Engineering statt Zero-Day

Typische Vorgehensweisen

  • Support-Impersonation: Täter geben sich als „WhatsApp-Support“ oder „Sicherheits-Team“ aus und fordern zur Bestätigung des Accounts auf. Das Opfer wird gebeten, einen angezeigten Pairing-Code zu teilen – ein klassischer Phishing-Move.
  • Kontakt-Manipulation: Der Angreifer kompromittiert zunächst einen Kontakt und bittet „dringend“ um Hilfe bei der Verifizierung. Soziale Nähe erhöht die Erfolgsquote.
  • QR/Code-Betrug: Über E-Mail, Messenger oder sogar Telefon wird das Opfer zum Scannen eines QR-Codes oder zur Eingabe eines Codes verleitet.
  • Missbrauch von Fernzugriff: Auf infizierten Smartphones (z. B. via Remote Access Trojan) bestätigen Täter die Verknüpfung eigenständig.

Ist das neue Gerät erst verknüpft, können Angreifer Nachrichten lesen, schreiben und Benachrichtigungen steuern – ideal für Folgebetrug, z. B. Zahlungsaufforderungen an Kunden. Diese Form der Accountübernahme bleibt häufig im Verborgenen, da keine Abmeldung des ursprünglichen Geräts erfolgt.

Warum Unternehmen besonders gefährdet sind

WhatsApp ist in vielen Teams faktisch Business-Messenger – ob erlaubt oder als Shadow IT. Damit vergrößert GhostPairing das Unternehmensrisiko deutlich:

  • Social Engineering in Projekten: Angreifer nutzen gekaperte Accounts für legitime-seeming Anweisungen: „Bitte diese Rechnung freigeben“ – klassischer Vorbote von Fraud und Ransomware-Vorstufen.
  • Datenschutz & Compliance: Chat-Inhalte, Kundenkontakte und interne Dateien können exfiltriert werden – problematisch für DSGVO und Branchenvorgaben.
  • Incident-Diffusion: Da Multi-Device-Sessions fortbestehen können, bleibt ein Angriff auch dann aktiv, wenn das Primärgerät offline ist. Erkennung und Eindämmung verzögern sich.

Für Security-Teams heißt das: Mobile-First-Sicherheitsstrategien, klare BYOD-Regeln und kontinuierliche Security-Awareness-Trainings sind Pflicht.

Prävention: 12 konkrete Maßnahmen gegen Account-Hijacking

Basisschutz für alle Nutzer

  1. Zwei-Schritt-Verifizierung aktivieren: Lege in WhatsApp einen 6-stelligen PIN fest. Das schützt vor unautorisierten Anmeldungen und erschwert das Verknüpfen fremder Geräte.
  2. Nie Codes teilen: Weder WhatsApp noch „Support“-Mitarbeiter fragen je nach Pairing- oder SMS-Codes. Teile sie auch nicht mit bekannten Kontakten – Accounts können kompromittiert sein.
  3. Verknüpfte Geräte prüfen: In den WhatsApp-Einstellungen regelmäßig „Verknüpfte Geräte“ checken und Unbekanntes sofort abmelden.
  4. Sicherheitsbenachrichtigungen aktivieren: Schalte WhatsApp-Sicherheitswarnungen ein und reagiere auf ungewohnte Aktivität sofort.
  5. App und OS aktuell halten: Updates schließen Sicherheitslücken und verbessern Missbrauchsschutz.

Härtung für Unternehmen

  1. Mobile Threat Defense (MTD) & MDM: Setze mobile EDR/MTD-Lösungen ein und kontrolliere via MDM, welche Apps und Funktionen auf BYOD- und Firmen-Devices erlaubt sind.
  2. Richtlinie für Business-Messaging: Lege fest, wann WhatsApp genutzt werden darf und wann ein unternehmenszertifizierter Messenger Pflicht ist. Dokumentiere Freigaben.
  3. Awareness & Phishing-Simulationen: Trainiere Teams mit Phishing-Simulationen gezielt auf Code- und QR-Betrug.
  4. Incident-Runbook für Messenger: Definiere Prozesse: Geräte-Check, verknüpfte Sessions entfernen, Kontakte warnen, Beweise sichern, Passwort/2FA zurücksetzen.
  5. Kontakt-Authentifizierung: Führe außerhalb des Messengers (z. B. per Telefon) eine Rückbestätigung für kritische Freigaben ein.
  6. Monitoring & Logging: Dokumentiere mobile sicherheitsrelevante Events (soweit datenschutzkonform) – verdächtige Kopplungen schneller erkennen.
  7. Least Privilege & Datenminimierung: Sensible Dokumente nicht ungeprüft über Messenger teilen; wo möglich, sichere Unternehmenskanäle nutzen.

Tipp: Verlinke interne Leitfäden und aktuelle Risiken im Security-Blog und spiele Reminder in Team-Channels aus.

Beispiel aus der Praxis: Betrugswelle über gekapertes Firmenhandy

Ein mittelständischer Händler verlor binnen weniger Stunden vierstellige Beträge, nachdem das WhatsApp-Konto eines Vertriebsmitarbeiters per GhostPairing kompromittiert wurde. Der Angreifer startete über das verknüpfte Gerät eine „Urgent“-Nachrichtenserie an Stammkunden – mit manipulierten Zahlungslinks. Der Vorfall wurde erst bemerkt, als Rückfragen per Telefon eintrafen. Lessons Learned: Verknüpfte Geräte strikt prüfen, Zahlungen außerhalb von Messenger-Kanälen freigeben, und Kontakte im Incident-Fall sofort warnen.

Pro & Contra: Multi-Device-Funktion in der IT-Sicherheitspraxis

Pro

  • Höhere Produktivität durch Nutzung am Desktop/Zweitgerät
  • Kontinuität auch bei Offline-Phasen des Primärgeräts
  • Bessere Erreichbarkeit im Team

Contra

  • Erweiterte Angriffsfläche für Accountübernahmen
  • Schwerere Erkennung unautorisierter Sessions
  • Compliance-Risiken bei sensiblen Inhalten

Wusstest du? – Fact-Box

WhatsApp erlaubt die Kopplung mehrerer Geräte zu einem Konto. Diese Sessions können über einen längeren Zeitraum aktiv bleiben – selbst wenn das Primärgerät nicht ständig online ist. Das erhöht den Nutzen, aber auch die Dauer, in der ein kompromittiertes Konto unbemerkt missbraucht werden kann.

Fazit: Jetzt Messenger-Sicherheit priorisieren

GhostPairing zeigt, dass Angreifer keine spektakulären Exploits brauchen: Social Engineering reicht, um legitime Funktionen gegen uns zu wenden. Wer WhatsApp im Business-Kontext nutzt, sollte Policy, Technik und Awareness zusammenführen – von der Zwei-Schritt-Verifizierung über MDM bis zu Awareness-Trainings und klaren Incident-Workflows.

Handele jetzt: Prüfe heute die „Verknüpfte Geräte“-Liste, aktiviere die Zwei-Schritt-Verifizierung und vereinbare ein kurzes Team-Briefing. Jede geteilte Code-Zahl ist eine zu viel.

  • #WhatsApp
  • #Accountübernahme
  • #MobileSecurity
  • #SocialEngineering
  • #GhostPairing
Share the Post:
Verwandte Beiträge
Starten sie heute noch eine Demo

*“ zeigt erforderliche Felder an

Name*
Einwilligung*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.
SECMIND
Phishing-as-a-Service
Ihre Verteidigung gegen Phishing und Cyberangriffe
Quick Links
Rechtliches
Kontakt

+49 2056 999 28 79

info@secmind.de

Social Media
Facebook Instagram Linkedin Xing