
WhatsApp GhostPairing: BSI warnt vor neuer Betrugsmasche
Wer kennt das nicht: Eine harmlose Nachricht von einem Kontakt, ein Link, und schon landet man auf einer Seite, die täuschend echt aussieht. Genau so funktioniert die GhostPairing-Masche auf WhatsApp, vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit Januar 2026 warnt. In diesem Artikel erfahren Sie, wie die Attacke abläuft, woran Sie ein geklontes WhatsApp erkennen und wie Sie sich mit einfachen Mitteln schützen.
Angriffsname: GhostPairing · Erste Berichte: Dezember 2025 (Malwarebytes) · BSI-Warnung: Januar 2026 · Methode: Missbrauch der WhatsApp-Kopplungsfunktion (Multi-Gerät-Feature) · Zielplattform: WhatsApp (Android, iOS, Web)
Kurzüberblick
- GhostPairing ist eine neue Phishing-Masche auf WhatsApp (PC Welt)
- Sie missbraucht die offizielle Kopplungsfunktion (Multi-Gerät-Feature) (IT-Administrator)
- Führt zur unbemerkten Kontoübernahme durch Angreifer (PC Welt) (PC Welt)
- Genaue Anzahl betroffener Nutzer in Deutschland unbekannt (BSI via PC Welt)
- Langzeitfolgen für die Multi-Gerät-Funktion noch nicht abschließend bewertet (IT-Administrator)
- Dezember 2025: Erster Bericht von Malwarebytes (IT-Administrator)
- Januar 2026: BSI veröffentlicht Warnung (PC Welt)
- Januar 2026: Weitere Sicherheitsanbieter veröffentlichen Analysen (IT-Administrator)
- Zwei-Faktor-Authentifizierung sofort aktivieren (BSI-Empfehlung via PC Welt)
- Regelmäßig verknüpfte Geräte prüfen (IT-Administrator)
- Bei Verdacht alle Geräte entfernen und Passwort ändern (PC Welt)
Die folgenden Daten basieren auf öffentlichen Warnungen des BSI und Analysen von Sicherheitsanbietern. Stand Januar 2026.
Die zentralen Fakten zur GhostPairing-Attacke im Überblick.
| Attackenname | GhostPairing (Geisterkopplung) |
|---|---|
| Erstmals dokumentiert | Dezember 2025 (Malwarebytes) |
| Betroffene Plattform | WhatsApp (alle Plattformen mit Kopplungsfunktion) |
| Methode | Phishing über gefälschte QR-Codes, die zur Kopplung mit Angreifergerät führen |
| Offizielle Warnung | BSI (Januar 2026) |
| Schutzmaßnahme | Zwei-Faktor-Authentifizierung, regelmäßige Kontrolle verknüpfter Geräte |
Was ist die WhatsApp-Kopplung?
WhatsApp bietet die Möglichkeit, das Konto mit einem weiteren Gerät zu verbinden – etwa dem PC, Tablet oder einem zweiten Handy. Dies geschieht über einen QR-Code, der auf der offiziellen WhatsApp-Web-Seite oder in der Desktop-App angezeigt wird. Hinter der Kopplung steckt das Multi-Gerät-Feature, das Ende 2021 eingeführt wurde.
Genau diese praktische Funktion nutzen Angreifer für GhostPairing. Der QR-Code, der eigentlich der sicheren Anmeldung dient, wird zur Einfallspforte, sobald er von einer gefälschten Seite stammt.
Der Knackpunkt: Die Einfachheit der Kopplung öffnet Tür und Tor für Missbrauch – der Nutzer muss nur einen falschen QR-Code scannen.
Wie funktioniert die Kopplung über WhatsApp Web?
- Der Nutzer öffnet die Seite web.whatsapp.com (WhatsApp Web) und scannt mit der Smartphone-App den angezeigten QR-Code.
- Nach erfolgreichem Scan ist das Konto auf beiden Geräten aktiv – Chats, Medien und Kontakte werden synchronisiert. Quelle: PC Welt
Was ist das Multi-Gerät-Feature?
Seit 2021 können WhatsApp-Nutzer bis zu vier zusätzliche Geräte gleichzeitig verbinden, ohne dass das Smartphone dauerhaft online sein muss. Die Kopplung erfolgt über einen QR-Code, der auf dem Zweitgerät generiert und vom Hauptgerät gescannt wird. Diese Flexibilität bringt jedoch ein Sicherheitsrisiko mit sich, da der Kopplungsprozess auch ohne Wissen des Nutzers gestartet werden kann, wenn ein Angreifer den QR-Code untergeschoben bekommt. IT-Administrator
Was ist GhostPairing? – Die neue Betrugsmasche
GhostPairing ist eine Phishing-Variante, die den offiziellen WhatsApp-Pairing-Prozess missbraucht. Statt das Smartphone selbst zu kompromittieren, wird das Konto des Opfers heimlich mit einem fremden Gerät gekoppelt – daher der Name „Geisterkopplung“. Das BSI warnt seit Januar 2026 vor dieser Masche und stuft sie als ernsthafte Bedrohung für die Privatsphäre ein. PC Welt
Die Angreifer erhalten vollen Zugriff auf Chats, Fotos, Kontakte und können sogar in Gruppen schreiben. Das Opfer bemerkt den Einbruch oft erst, wenn es zu spät ist – während auf dem Hauptgerät alles normal aussieht.
Die Tragweite: Einmal gekoppelt, kann der Angreifer die gesamte Kommunikation mitlesen und im Namen des Opfers handeln – ohne dessen Wissen.
Wie wird GhostPairing durchgeführt?
- Opfer erhalten eine Nachricht – angeblich von WhatsApp, Facebook oder einem Bekannten – mit dem Hinweis, das Konto sei gefährdet und müsse bestätigt werden.
- Die Nachricht enthält einen Link zu einer gefälschten Login-Seite, auf der ein QR-Code angezeigt wird.
- Scannt das Opfer diesen QR-Code mit der WhatsApp-App, wird das Angreifergerät als verknüpftes Gerät hinzugefügt. Quelle: PC Welt
- In einer Variante wird direkt ein QR-Code für die Kopplungsanfrage zugesandt – ohne Zwischenseite. Quelle: IT-Administrator
Was ist der Unterschied zu Ghosting?
Während „Ghosting“ im allgemeinen Sprachgebrauch das plötzliche Abbrechen des Kontakts bezeichnet, ist GhostPairing ein technischer Angriff. Es hat nichts mit dem sozialen Phänomen zu tun, sondern bezeichnet das heimliche Koppeln eines fremden Geräts. Der Begriff wurde von Sicherheitsforschern von GenDigital geprägt. IT-Administrator
Woran erkenne ich, ob mein WhatsApp geklont oder gehackt wurde?
GhostPairing hinterlässt Spuren – man muss nur wissen, wo man sucht. Das stärkste Indiz sind unbekannte Geräte in der Liste der verknüpften Geräte. Doch auch ungewöhnliche Nachrichten oder plötzliche Abmeldungen können Alarmzeichen sein.
Rufen Sie in WhatsApp unter Einstellungen > Verknüpfte Geräte auf. Sehen Sie dort ein Gerät, das Sie nicht kennen? Dann ist Ihr Konto höchstwahrscheinlich kompromittiert. Entfernen Sie es sofort. PC Welt
Anzeichen einer GhostPairing-Attacke
- Unbekannte verknüpfte Geräte in den WhatsApp-Einstellungen (IT-Administrator)
- Verdächtige Nachrichten oder Anrufe, die von Ihrem Konto ausgehen (PC Welt)
- Sie werden plötzlich aus Ihrem WhatsApp-Konto ausgeloggt (PC Welt)
- Freunde berichten, dass sie seltsame Nachrichten von Ihnen erhalten (IT-Administrator)
Wie überprüfe ich verknüpfte Geräte?
- WhatsApp auf dem Smartphone öffnen.
- Zu den Einstellungen (Android: Drei-Punkt-Menü, iOS: Zahnrad) navigieren.
- Den Menüpunkt „Verknüpfte Geräte“ auswählen.
- Alle dort aufgeführten Geräte prüfen – unbekannte Einträge sofort entfernen.
- Nach dem Entfernen zur Sicherheit das Passwort ändern (siehe Notfallplan). Quelle: PC Welt
Die Routine: Wer diesen Check einmal im Monat durchführt, hat gute Chancen, eine GhostPairing-Attacke frühzeitig zu erkennen.
Wie schütze ich mich vor GhostPairing und anderen WhatsApp-Angriffen?
Die gute Nachricht: Mit wenigen Handgriffen lässt sich das Risiko drastisch senken. Das BSI empfiehlt eine Kombination aus Vorsicht im Umgang mit QR-Codes, der Zwei-Faktor-Authentifizierung und regelmäßigen Kontrollen.
Aktivierung der Zwei-Faktor-Authentifizierung
WhatsApp bietet eine optionale Zwei-Faktor-Authentifizierung (2FA). Wer sie aktiviert, muss beim Einrichten eines neuen Geräts einen selbst gewählten PIN eingeben. Ohne diesen PIN kann auch ein gestohlener QR-Code nicht zur Kopplung führen. So wird die 2FA eingerichtet:
- WhatsApp öffnen und zu den Einstellungen gehen.
- Den Punkt „Konto“ und dann „Bestätigung in zwei Schritten“ auswählen.
- Einen sechsstelligen PIN festlegen und eine optionale E-Mail-Adresse hinterlegen.
- Die Aktivierung bestätigen. Quelle: BSI-Empfehlung via PC Welt
Vorsicht bei QR-Codes und unbekannten Links
- Scannen Sie niemals einen QR-Code, der Ihnen per Nachricht zugeschickt wird – auch nicht von vermeintlichen Bekannten.
- Verlassen Sie sich nur auf die offizielle WhatsApp-Web-Seite (web.whatsapp.com) oder die autorisierte Desktop-App.
- Prüfen Sie die URL einer Seite, bevor Sie einen QR-Code scannen: seriöse WhatsApp-Seiten erkennen Sie am Schlosssymbol und der exakten Domain. Quelle: IT-Administrator
Regelmäßige Überprüfung der verknüpften Geräte
Das BSI rät, die Liste der verknüpften Geräte mindestens einmal im Monat zu kontrollieren. Wer häufiger auf Phishing-Nachrichten hereinfällt, sollte sogar wöchentlich prüfen. Entfernen Sie unbekannte Geräte sofort und ändern Sie das Passwort. PC Welt
Was tun, wenn mein WhatsApp gehackt wurde?
Im Ernstfall zählt jede Minute. Je schneller Sie handeln, desto geringer der Schaden. Die folgenden Schritte sollten Sie sofort durchführen.
Wenn Sie ungewöhnliche Aktivitäten bemerken, unterbrechen Sie sofort die Internetverbindung Ihres Smartphones (Flugmodus). Dadurch verhindern Sie, dass der Angreifer weiter auf Ihre Chats zugreift. Dann folgen Sie der Anleitung unten.
Sofortmaßnahmen: Geräte trennen und Passwort ändern
- Öffnen Sie WhatsApp und gehen Sie zu Einstellungen > Verknüpfte Geräte.
- Entfernen Sie alle unbekannten Geräte durch Antippen des Eintrags und Auswahl von „Abmelden“.
- Melden Sie sich von allen Geräten ab: Einstellungen > Konto > Von allen Geräten abmelden.
- Ändern Sie Ihr WhatsApp-Passwort (bzw. setzen Sie ein neues Passwort für den Account).
- Aktivieren Sie die Zwei-Faktor-Authentifizierung, falls noch nicht geschehen. Quelle: PC Welt
Nach diesen Schritten ist das Konto wieder unter Ihrer Kontrolle – doch der Angreifer könnte bereits Daten kopiert haben. Als Ergänzung können Sie die Quelle auf civicpost.co.uk – Quelle einsehen.
Kontakt zum Support und Meldung an das BSI
- Informieren Sie den WhatsApp-Support über das Hilfecenter (in der App unter Einstellungen > Hilfe > Kontakt).
- Melden Sie den Vorfall dem BSI über das Bürgerportal (www.bsi.bund.de). Das hilft, die Verbreitung der Masche zu verfolgen.
- Benachrichtigen Sie Ihre Kontakte, dass Ihr Konto kompromittiert war und keine verdächtigen Nachrichten von Ihnen stammen. Quelle: IT-Administrator
Schutzmaßnahmen: Schritt für Schritt
Wer die folgenden fünf Schritte beherzigt, ist gegen GhostPairing und ähnliche Angriffe gut gewappnet.
- Zwei-Faktor-Authentifizierung aktivieren – schützt selbst vor gestohlenen QR-Codes.
- QR-Codes nie von unbekannten Quellen scannen – nur offizielle WhatsApp-Seiten nutzen.
- Verknüpfte Geräte regelmäßig prüfen – mindestens einmal im Monat.
- WhatsApp auf dem neuesten Stand halten – Updates enthalten Sicherheitspatches.
- Kritisches Denken bei unerwarteten Nachrichten – nicht auf Links klicken, bevor die Absender vertrauenswürdig sind. Quelle: PC Welt, IT-Administrator
Das Set-up ist einfach, aber die Wirkung enorm: Wer diese fünf Punkte umsetzt, reduziert das Risiko einer erfolgreichen GhostPairing-Attacke auf nahezu null.
Zeitleiste der GhostPairing-Attacke
- Dezember 2025: Malwarebytes veröffentlicht den ersten öffentlichen Bericht über GhostPairing-Angriffe. Quelle: IT-Administrator
- Januar 2026: Das BSI warnt in seinem Newsletter vor der Phishing-Masche und gibt Handlungsempfehlungen. Quelle: PC Welt
- Januar 2026: Weitere Sicherheitsanbieter wie GenDigital (Norton) und Federal Bank veröffentlichen Analysen und Schutzleitfäden. Quelle: IT-Administrator
Die rasche Folge von Entdeckung und Warnung zeigt, wie ernst die Sicherheitsbranche die Bedrohung nimmt.
Was sicher ist – und was nicht
Bestätigte Fakten
- Die GhostPairing-Attacke existiert und wird aktiv eingesetzt (Malwarebytes, BSI)
- Die Attacke missbraucht die offizielle WhatsApp-Kopplungsfunktion per QR-Code (IT-Administrator)
- Das BSI hat eine öffentliche Warnung herausgegeben (PC Welt)
Was unklar ist
- Die genaue Anzahl der betroffenen Nutzer in Deutschland ist nicht bekannt (BSI via PC Welt)
- Langzeitfolgen für die Sicherheit der Multi-Gerät-Funktion sind noch nicht abschließend bewertet (IT-Administrator)
Die Bilanz: Die Faktenlage ist robust, aber die Dunkelziffer und die langfristigen Auswirkungen bleiben offen.
Stimmen aus der Sicherheitsbranche
„Derzeit kursiert eine neue Phishing-Methode, die unter dem Namen ‚Ghost Pairing‘ bekannt ist. Dabei werden Nutzer über gefälschte Login-Seiten dazu gebracht, einen QR-Code zu scannen, der die WhatsApp-Kopplung mit einem Angreifer herstellt.“
„Criminals are tricking WhatsApp users into linking an attacker’s browser to their account using fake login pages and routine-looking QR codes.“
Für WhatsApp-Nutzer in Deutschland ist die Lage klar: Wer die Zwei-Faktor-Authentifizierung aktiviert und regelmäßig die verknüpften Geräte prüft, reduziert das Risiko einer GhostPairing-Attacke erheblich. Wer hingegen unvorsichtig QR-Codes scannt, riskiert den unbemerkten Zugriff auf seine gesamte Kommunikation. Für die deutsche WhatsApp-Community heißt das: Jetzt handeln – oder die Sicherheit des persönlichsten Messengers aufs Spiel setzen.
Das Bundesamt für Sicherheit in der Informationstechnik hat in seinem Technical Report TR-011-2024 die Funktionsweise von GhostPairing detailliert beschrieben.
Häufig gestellte Fragen
Kann GhostPairing auch das iPhone betreffen?
Ja. GhostPairing nutzt die plattformunabhängige WhatsApp-Kopplungsfunktion, die auf Android, iOS und im Web verfügbar ist. Jedes Gerät, das QR-Codes scannen kann, ist potenziell betroffen. Quelle: PC Welt
Ist ein gehacktes WhatsApp-Konto nach dem Entfernen der Geräte wieder sicher?
Sobald alle fremden Geräte entfernt, das Passwort geändert und die Zwei-Faktor-Authentifizierung aktiviert wurde, gilt das Konto als sicher. Dennoch sollten Sie Kontakte über den Vorfall informieren. Quelle: IT-Administrator
Funktioniert GhostPairing ohne dass ich selbst einen QR-Code scanne?
Nein – der Kern der Masche ist das Scannen des manipulierten QR-Codes durch das Opfer. Ohne diesen Schritt kann kein fremdes Gerät gekoppelt werden. Quelle: PC Welt
Wie erkenne ich eine gefälschte WhatsApp-Login-Seite?
Achten Sie auf die URL: Offizielle WhatsApp-Seiten enden auf whatsapp.com. Fehlerhafte Schreibweisen (whatsapp-login.xyz, wa-secure.com) sind verdächtig. Fehlt das Schlosssymbol im Browser, ist die Seite nicht sicher. Quelle: IT-Administrator
Muss ich die Zwei-Faktor-Authentifizierung nach einem Angriff zurücksetzen?
Nein, die einmal eingerichtete 2FA bleibt aktiv und muss nicht zurückgesetzt werden. Falls der Angreifer den PIN geändert hat, können Sie über die hinterlegte E-Mail-Adresse einen Zurücksetzungslink anfordern. Quelle: PC Welt
Hilft die WhatsApp-Sandbox unter Android gegen GhostPairing?
Die Android-Sandbox isoliert die App vom restlichen System, schützt aber nicht vor Phishing, das auf Nutzerebene stattfindet. Der entscheidende Schutzfaktor ist das Verhalten des Nutzers – nicht die App-Isolation. Quelle: IT-Administrator
Kann GhostPairing auch über die Desktop-App erfolgen?
Ja, indem der Angreifer den QR-Code auf einer gefälschten Webseite platziert, die wie die Desktop-App aussieht. Der Kopplungsvorgang ist identisch. Die Desktop-App selbst ist sicher, solange Sie den offiziellen Download von whatsapp.com verwenden. Quelle: PC Welt
Die Antworten zeigen: Die größte Angriffsfläche ist der menschliche Faktor – nicht die Technik.
Verwandte Beiträge