WhatsApps 3,5-Milliarden-Daten-Enthüllung lässt Millionen von Amerikanern offen für Betrügereien

Eine neue Studie der Universität Wien bestätigt etwas, von dem jeder US-WhatsApp-Nutzer hofft, dass es nie passieren würde. Kriminelle können nun feststellen, welche Telefonnummern aktiv bei WhatsApp registriert sind, und sie mit öffentlichen Profilfotos und About-Status abgleichen. Das sind 137 Millionen bestätigte US-Konten, die plötzlich kartiert, gekennzeichnet und zur Ausbeutung bereit sind.

Und wenn 44 Prozent dieser Konten ein öffentliches Profilfoto und 33 Prozent einen öffentlichen Info-Text aufweisen, werden die Daten zu einer Goldgrube für Betrüger. Eine gültige Nummer plus ein Gesicht plus eine Andeutung von persönlichen Details ist alles, was ein Krimineller braucht, um ausgeklügelte Social-Engineering-Angriffe zu starten.

Im Folgenden wird erläutert, was dies für amerikanische Nutzer heute bedeutet.

Kurz und bündig:

- 137 Millionen US-WhatsApp-Nummern wurden als aktiv bestätigt
- 44 Prozent zeigten öffentliche Profilfotos und 33 Prozent hatten öffentliche Über-Texte
- Diese Daten dienen als Grundlage für SIM-Austausch, Betrug und gezieltes Phishing
- Sie ermöglichen auch politisches Micro-Targeting und Überwachung
- US-Nutzer sollten WhatsApp sichern, SIM-Berechtigungen sperren und öffentliche Profilinformationen ausblenden

Welche finanziellen Risiken birgt dieses Leck?

SIM-Swapping ist in den USA bereits ein Milliarden-Dollar-Problem. Dieser neue Fundus an bestätigten Telefonnummern verschafft Kriminellen einen erschreckenden Vorsprung.

Ein Betrüger braucht nur zwei Dinge, um sich für Sie auszugeben, wenn er AT&T, T Mobile oder Verizon anruft. Eine funktionierende Telefonnummer und ein überzeugendes persönliches Detail.
Das Leck liefert beides.

Mit einer Nummer, die auf WhatsApp als aktiv bestätigt wurde, sowie einem Profilfoto und einem kurzen Text, der Hinweise wie einen Vornamen oder eine Stadt enthält, klingen Kriminelle für Kundendienstmitarbeiter glaubwürdiger. Sobald sie einen Anbieter davon überzeugt haben, Ihre Nummer auf ihre SIM-Karte zu übertragen, kontrollieren sie Ihre Anrufe und SMS. Dazu gehören SMS-basierte Bankcodes, 2FA für Kryptokonten und das Zurücksetzen von Passwörtern.

Innerhalb von Minuten können die Angreifer Konten leerräumen und die Opfer vollständig aussperren.

Wie kann dies zu Betrug durch Nachahmung führen?

Weil die Betrüger nicht mehr zu raten brauchen. Sie wissen bereits, dass Ihre Nummer echt ist.

Indem sie Ihr Profilbild und Ihren Namen kopieren und Ihre Freunde mit Nachrichten wie "Hey, ich bin's, ich habe meine Nummer geändert" kontaktieren, können Angreifer unglaublich überzeugende WhatsApp-Imitationsbetrügereien starten.

Beispiel einer Betrugsnachricht

Bitten um dringende Hilfe, schnelle Geldüberweisungen oder "Ich brauche Ihren Verifizierungscode" werden viel glaubwürdiger, wenn sie von einem bekannten Gesicht kommen.

Und es kommt noch schlimmer. Die US-Telefonnummern in diesem Leck können mit alten Sicherheitsverletzungen wie dem Facebook-Scraping-Vorfall von 2021 abgeglichen werden. Ein Betrüger könnte Ihr WhatsApp-Foto mit Ihrem vollständigen Namen, Ihrer E-Mail-Adresse oder Ihrem Heimatort kombinieren, dann den Kanal wechseln und Sie per SMS oder E-Mail mit einem stark personalisierten Phishing-Versuch angreifen.

Entsteht dadurch ein politisches Risiko oder ein Überwachungsrisiko?

Leider ja. In einem US-Wahljahr werden bestätigte aktive Nummern zu einem mächtigen Targeting-Instrument.

Politische Gruppen oder ausländische Akteure können segmentierte Datenbanken mit Millionen von verifizierten WhatsApp-Nutzern erstellen. Sie können maßgeschneiderte Fehlinformationen direkt in private Chats einspeisen, insbesondere in den "Swing States". Die virale Weiterleitungsstruktur von WhatsApp macht dies in großem Umfang äußerst effektiv.

Selbst Agenturen, die Aktivisten oder Journalisten überwachen, können diese bestätigten Nummern nutzen, um festzustellen, ob eine bestimmte Person WhatsApp nutzt und sogar, welches Betriebssystem sie verwendet. Metadaten sind winzig, aber unglaublich mächtig.

Was sollten US-Nutzer jetzt tun?

Die gute Nachricht ist, dass Sie die meisten dieser Sicherheitslücken mit ein paar Änderungen schließen können.

Aktivieren Sie die Zwei-Schritt-Verifizierung auf WhatsApp
Öffnen Sie die WhatsApp-Einstellungen, dann Konto, dann Zwei-Schritt-Verifizierung, und erstellen Sie eine sechsstellige PIN. Dadurch wird verhindert, dass jemand Ihre Nummer anderswo registriert, selbst nach einem SIM-Wechsel.

Sperren Sie das Konto Ihres Mobilfunkanbieters
Rufen Sie Ihren Anbieter an und fügen Sie eine Port-Out-PIN oder ein Hochsicherheitspasswort hinzu. Dadurch wird der unbefugte SIM-Wechsel erheblich erschwert.

Verbergen Sie Ihre öffentlichen Profildetails
Setzen Sie Ihr Profilfoto, Über und Zuletzt gesehen auf Meine Kontakte oder Niemand. Damit entfernen Sie den sozialen Beweis, auf den Kriminelle angewiesen sind.

Lesen Sie unsere Anleitung, wie Sie Ihr WhatsApp-Konto wiederherstellen können.

FAQs
Wie sind die Angreifer an die 137 Millionen US-Telefonnummern gekommen?
Die Forscher verwendeten Aufzählungstechniken, um festzustellen, welche Nummern auf WhatsApp aktiv waren. Sie haben die Verschlüsselung nicht geknackt, sondern öffentlich sichtbare Metadaten abgebildet.

Bedeutet dies, dass WhatsApp-Nachrichten offengelegt werden?
Nein. Die Nachrichten bleiben Ende-zu-Ende verschlüsselt. Das Risiko geht von bestätigten Telefonnummern und öffentlichen Profildaten aus.

Ist jeder US-amerikanische WhatsApp-Nutzer betroffen?
Nur Nummern, die aktiv waren und öffentlich sichtbare Details hatten. Aber das Ausmaß ist groß genug, um für alle von Bedeutung zu sein.

Kann dies zum Diebstahl von Bankkonten führen?
Ja. Durch SIM-Tausch, der durch bestätigte Nummern und persönliche Daten ermöglicht wird, können Kriminelle Zugang zu SMS-basierten Bankcodes erhalten.

Sollte ich aufhören, WhatsApp zu benutzen?
Nicht unbedingt. Aber Sie sollten die Datenschutzeinstellungen verschärfen und sofort den Zwei-Faktor-Schutz aktivieren.

Wie kann ich mich vor solchen Betrügereien schützen?
Installieren Sie die ScamAdviser-App für Echtzeitwarnungen, Betrugsüberprüfungen und praktische Schutztipps, die auf aktuelle Bedrohungen zugeschnitten sind.