Die Zahl der gehackten WhatsApp-Accounts steigt dramatisch an. Cybersecurity-Experten und Strafverfolger schlagen Alarm und fordern die Milliarden WhatsApp-Nutzer auf, ihre Sicherheitseinstellungen sofort zu verstärken. Die britische Betrugsbekämpfungsbehörde Action Fraud berichtete diese Woche von einem deutlichen Anstieg gehackter Konten – ein Trend, bei dem Betrüger rechtmäßige Nutzer aussperren und deren digitale Identität missbrauchen, um Freunde und Familie zu betrügen.

Meta, WhatsApps Mutterkonzern, reagiert auf die wachsende Bedrohung: Allein in der ersten Jahreshälfte 2025 entdeckte und sperrte das Unternehmen über 6,8 Millionen Konten, die mit organisierten Betrugszentren in Verbindung standen. Im August 2025 führte WhatsApp neue Anti-Betrugs-Tools ein, darunter Sicherheitshinweise beim Hinzufügen zu unbekannten Gruppen und Warnungen vor verdächtigen Nachrichten.

So funktioniert die Kontübernahme

Die Methode ist erschreckend simpel und basiert auf Social Engineering. Betrüger verleiten Nutzer dazu, den sechsstelligen SMS-Verifizierungscode preiszugeben, den WhatsApp zur Registrierung auf einem neuen Gerät versendet. Oft geben sich die Kriminellen als Freunde oder Familienmitglieder in Not aus oder sogar als offizieller WhatsApp-Support. Sie erzeugen bewusst Druck, um Opfer zur Weitergabe des Codes zu bewegen.

Mit diesem Code kann der Angreifer sich in das WhatsApp-Konto des Opfers einloggen und den rechtmäßigen Besitzer aussperren. Besonders perfide: Hacker aktivieren sofort die Zwei-Faktor-Authentifizierung mit ihrer eigenen PIN, was die Kontowiederherstellung bis zu sieben Tage verzögern kann. Mit der Kontrolle über das Konto kontaktieren Betrüger dann die Kontakte des Opfers und führen Betrugsmaschen durch – wie den berüchtigten "Hi Mama"- oder "Hi Papa"-Betrug, bei dem sie sich als das Opfer ausgeben und um dringende finanzielle Hilfe für einen erfundenen Notfall bitten.

Anzeige: Übrigens: Wer sich vor genau solchen WhatsApp-Übernahmen schützen will, sollte die wichtigsten Smartphone-Schutzmaßnahmen umsetzen. Viele Android-Nutzer übersehen diese 5 Schritte – dabei lassen sie sich in wenigen Minuten einrichten. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking und PayPal auf dem Android-Gerät absichern – ohne teure Zusatz-Apps. Jetzt kostenloses Android‑Sicherheitspaket sichern

Schutz und Wiederherstellung des Kontos

Prävention ist der wirksamste Schutz, betonen Sicherheitsexperten. Der wichtigste Schritt: Aktivierung der Zwei-Faktor-Authentifizierung. Diese Funktion erfordert zusätzlich zum SMS-Code eine sechsstellige PIN bei der Registrierung auf einem neuen Gerät – eine entscheidende zusätzliche Sicherheitsebene. Nutzer sollten niemals, unter keinen Umständen, ihren Verifizierungscode teilen. Eine regelmäßige Überprüfung der verknüpften Geräte in den Kontoeinstellungen hilft beim Aufspüren unbefugter Zugriffe.

Falls das Konto kompromittiert wurde: Schnell handeln. Sofort versuchen, sich durch erneute Registrierung der Telefonnummer wieder einzuloggen. Dies sendet einen neuen SMS-Code an das Telefon und loggt den Hacker automatisch aus. Hat der Hacker seine eigene Zwei-Faktor-PIN aktiviert, müssen Nutzer sieben Tage warten, um ihr Konto ohne PIN wiederherzustellen. Kontakte sollten über andere Kanäle über die Kompromittierung informiert werden, um sie vor dem Betrüger zu schützen.

Anzeige: Passend zum Thema Prävention: So sichern Sie Ihr Android ohne teure Zusatz-Apps. Der kostenlose Ratgeber erklärt in klaren Schritt-für-Schritt-Anleitungen die 5 wichtigsten Maßnahmen – von Gerätesperre und App-Berechtigungen bis Updates und geprüften Downloads. Tipp 3 schließt eine oft unterschätzte Sicherheitslücke. Gratis herunterladen und Smartphone absichern

Sichere Alternativen für datenschutzbewusste Nutzer

Die anhaltenden Betrugsmaschen bewegen viele zur Bewertung sichererer Messaging-Plattformen. Obwohl WhatsApp das robuste Signal-Protokoll für Ende-zu-Ende-Verschlüsselung verwendet, bereiten die Zugehörigkeit zu Meta und die Sammlung von Nutzerdaten – wer mit wem spricht, Standort, Kontakte – Datenschützern Sorgen.

Signal gilt unter Sicherheitsexperten als Goldstandard für private Kommunikation. Die gemeinnützige Signal Foundation betreibt die Plattform und verwendet das quelloffene Signal-Protokoll für standardmäßige Ende-zu-Ende-Verschlüsselung aller Nachrichten und Anrufe. Entscheidend: Es sammelt praktisch keine Metadaten und benötigt nur eine Telefonnummer zur Registrierung. Die Open-Source-Natur ermöglicht unabhängige Code-Audits auf Schwachstellen – eine Transparenz, die WhatsApp fehlt.

Threema verfolgt einen anderen Ansatz mit kompletterAnonymität. Die aus der Schweiz stammende App mit strengen Datenschutzgesetzen erfordert weder Telefonnummer noch E-Mail zur Anmeldung. Stattdessen generiert sie eine zufällige Benutzer-ID für anonyme Kommunikation. Wie Signal ist der Code quelloffen und bietet Ende-zu-Ende-Verschlüsselung – allerdings als kostenpflichtige Anwendung.

Bedrohungslandschaft entwickelt sich weiter

Der Anstieg der Kontoübernahmen spiegelt einen breiteren Trend wider: Cyberkriminelle nutzen Social Engineering plattformübergreifend. Im August 2025 enthüllte Meta, dass viele Betrugskampagnen auf einer Plattform beginnen und dann zu privaten Messengern wie WhatsApp wechseln. Diese kriminellen Unternehmen, oft in Südostasien ansässig, betreiben diverse Betrugsmaschen von Kryptowährungsschemas bis hin zu falschen Stellenangeboten.

Kürzlich musste WhatsApp auch technische Schwachstellen patchen, etwa einen Zero-Click-Exploit (CVE-2025-55177) für gezielte Angriffe auf iOS- und macOS-Geräte. Dies unterstreicht den ständigen Kampf gegen Sicherheitsbedrohungen.

Die Zukunft bringt vermutlich raffiniertere Social-Engineering-Taktiken mit sich – möglicherweise KI-gesteuerte Stimmenklone oder personalisierte Phishing-Angriffe. Die Verantwortung liegt weiterhin bei den Nutzern: digitale Wachsamkeit üben. Für Messaging-Plattformen besteht die Herausforderung darin, benutzerfreundliches Design mit robusten Standard-Sicherheitsfunktionen zu verbinden, die auch weniger technikversierte Nutzer schützen. Der grundlegende Rat bleibt zeitlos: Zwei-Faktor-Authentifizierung aktivieren, bei dringenden Anfragen skeptisch bleiben und niemals Verifizierungscodes teilen.