Facebook sieht die Lösung in der Herausgabe weiterer Daten durch die Nutzer - Keine dauerhafte, aber längere Sperre möglich



Mit einem recht simplen Trick ist es demnach möglich, beliebige Whatsapp-User temporär zu sperren. Und mit einer zweiten Stufe lässt sich dieser zeitliche Rahmen - und der Aufwand für den betreffenden Nutzer - noch einmal deutlich verlängern, wie "Forbes" berichtet. Alles, was man dafür wissen muss, ist die für das Konto verwendete Telefonnummer.

Auf der ersten Stufe versucht sich der Angreifer einfach mit der Telefonnummer der Zielperson auf einem eigenen Smartphone einzuloggen. Das geht natürlich nicht, weil die Bestätigungs-SMS für den Login an ein ganz anderes Gerät geht. Nach mehreren erfolglosen Versuchen führt dies aber schon einmal zur Sperre des Kontos für eine Dauer von zwölf Stunden.


Bild: Forbes

An dieser Stelle beginnt nun der zweite Teil der Attacke: Der Angreifer schickt - von einer beliebigen Adresse - eine E-Mail an den Whatsapp-Support und behauptet einfach, dass das eigene Telefon gestohlen wurde und das Konto entsprechend gesperrt werden soll. Diese Anfrage "überprüft" Facebook lediglich, indem über eine Rückfrage via E-Mail nachgefragt wird, ob diese Adresse auch wirklich existiert. Diese steht aber eben unter Kontrolle des Angreifers. Also kann dieser auch problemlos darauf antworten, und es wird eine längere Sperre veranlasst. Ein Angreifer könnte dieses Spiel zudem mehrfach wiederholen, um eine Art semidauerhafte Sperre zu erreichen, betonen die Sicherheitsforscher.